网络攻击与防范ARP攻击实验.docxVIP

华北电力大学实验报告||实验名称ARP攻击实验课程名称网络攻击与防范||专业班级：网络 学生姓名：学 号： 成 绩：指导教师：曹锦纲 实验日期：一、实验目的及要求1、安装虚拟机（VMWARE）和WinArpAttacker软件（或其他ARP攻击软件）。2、熟悉软件功能特性。3、用ARP攻击对虚拟机进行攻击。4、分析攻击给目标主机的影响。二、所用仪器、设备两台Windows XP Professional SP3虚拟机三、实验原理WinArpAttacker软件可以发现并搜集局域网中的所有数据包。 它主要执行下列6种攻击行为：（1）FLOOD（Arp洪水）：不间断的IP冲突攻击。以最快的速度向目标主机发送IP冲突数据包，如果发送过多，目标主机将当机。（2）BANGATEWAY（屏蔽网关）：禁止上网。将目标主机的错误mac地址发送给网关，这样目标主机就无法从互联网接收数据包. 此攻击用于阻止目标主机访问互联网。（3）IPConflict（IP冲突）：定时的IP冲突。与Arp洪水攻击类似，以常规速度向目标主机发送ip冲突数据包，由于IP冲突的信息, 目标主机无法访问网络。（4）SniffGateway（嗅探网关）：监听选定机器与网关的通讯。在目标主机和网关之间进行欺骗，嗅探并搜集他们之间的数据包。（5）SniffHosts（嗅探主机）：监听选定的几台机器之间的通讯。在两台或多台主机之间进行欺骗，在这些主机之间嗅探并搜集数据包。（6）SniffLan（局域网嗅探）：监听整个网络任意机器之间的通讯。与嗅探网关类似，区别在于，局域网嗅探方式是将自己作为网关发送ARP广播包给所有主机，然后就可嗅探所有主机与网关之间的数据包。（非常危险）当欺骗ARP表时，无须局域网内其他主机的识别，即可将自己装饰为另一个网关（或包转发主机）。通过WinArpAttacker的包转发功能，可搜集并转发数据包，使用时最好禁止本地系统本身的包转发功能。能够统计通过WinArpAttacker包转发功能嗅探和转发的数据，就像在本地网络接口上看到的数据包统计值一样。ARP表在很短的时间内自动更新（大约5秒内），也可选择不自动刷新ARP表。四、实验方法与步骤1、在VMware中新建两个虚拟机，均安装Windows XP系统，并设置网卡连接方式为Host-only（主机）模式。2、详细的TCP/IP参数设置如下：设备IP地址掩码MAC地址PC1192.168.137.2255.255.255.000-0C-29-5F-20-F0PC2192.168.137.3255.255.255.000-0C-29-AF-AE-6F3、确保两台虚拟机相互可以ping通：PC1：PC2：4、WinArpAttacker下载后直接解压缩即可使用，在PC1中打开WinArpAttacker.exe，即显示软件主界面。5、在WinArpAttacker主窗口中选择“扫描”→“高级”菜单项，即可打开“扫描”对话框。在其中选择“扫描网段”选项。单击“扫描”按钮进行扫描。会弹出Scanning successfully（扫描成功）信息框。6、单击“确定”按钮，即可在WinArpAttacker主窗口中看到扫描结果，如图所示区域是主机列表区，主要显示局域网内机器IP、MAC、主机名、是否在线、是否在监听、是否处于被攻击状态，其中ArpSQ是该机器的发送ARP请求包的个数；ArpSP是该机器的发送回应包个数；ArpRQ是该机器接收的请求包个数；ArpRP是该机器接收的回应包个数。左下方区域主要显示检测事件，在这里显示检测到的主机状态变化和攻击事件。而右下方区域主要显示本地局域网中所有主机IP地址和MAC地址信息。7、在进行攻击之前，需要对攻击的各个属性进行设置。单击工具栏上的“设置”→“适配器”菜单项，则打开Options对话框，如下左图所示。如果本地主机安装有多块网卡，则可在“适配器”选项卡下选择绑定的网卡和IP地址。本次实验选择VMware Accelerated AMD PCNet Adapter网卡（即默认网卡）。在“攻击”选项卡中可设置网络攻击时的各种选项，如下右图所示。除“连续IP冲突”是次数外，其他都是持续的时间，如果是0则表示不停止。8、在“更新”选项卡中可设置自动扫描的时间间隔，如下左图所示。在“检测”选项卡中可设置是否启动自动检测以及检测的频率，如下右图所示。10、在“分析”选项卡中可设置保存ARP数据包文件的名称与路径，如下左图所示。在“ARP代理”选项卡中可启用代理ARP功能，如下右图所示。11、在“保护”选项卡中可以启用本地和远程防欺骗保护功能，以避免受到ARP欺骗攻击，如下图所示。12、在WinArpAttacker主窗口中选取需要攻