ARP协议分析以及安全问题探讨.docVIP

北京信息科技大学 信息管理学院 网络管理实验报告 ARP协议分析及其安全问题 专业名称： 信息安全 班 级： 信安1002 学 号： 2010012713 姓 名： 李继文 成 绩： 目 录 一、 实验目的 3 二、 实验内容 3 三、 分工和实施 5 四、 安全问题分析 5 五、 实验总结 8 实验目的 通过使用wireshark进行抓包，然后对于所抓的包中的ARP（Address Resolution protocol ）进行分析，从而掌握如何使用抓包进行对未知的协议进行分析。掌握实际分析的方法。 实验内容 实验环境：winxp； 实验工具：wireshark（抓包工具） 实验内容： 首先清理背景流量-----关闭其他的联网进程。开始进行分析 使用wireshark进行抓包，并且进行ARP过滤 选取其中一条进行分析 然后进一步对其进行深一步的展开分析： 然后可以看出ARP是位于网络层的协议； 首先对其进行分析： 如上图：ARP头部所拥有的信息： 硬件类型（Hardware type）:以太网（表明ARP协议实现在何种类型的网络上） 协议类型（Protocol type）:ip（代表解析协议（上层协议）。这里，一般是0800，即IP） 硬件地址长度（Hardware size）：4（MAC地址长度，此处为6个字节） 协议长度： IP地址长度，此处为4个字节。 操作符：(Opcode)：reply应答（代表ARP协议数据包类型。0表示ARP协议请求数据包，1表示ARP协议应答数据包） Sender MAC address:(发送者的物理地址)：（待填充） 发送者的ip（发送者的ip地址）： 目的物理地址： 目的ip地址： 然后对于链路层的协议进行分析： 链路层协议可以看出： 在于同一个局域网中，使用mac地址进行传送，有上可以看出： 目的物理地址： 源物理地址： 协议的类型：ARP 最后展示一下物理层： 与标准格式进行对照： 可以看出与上述抓包分析的结果符合一致： 分工和实施 李继文，彭为：协议安全分析 彭为：arp包头分析 李继文：链路层 安全问题分析 ARP协议工作原理 在TCP/IP协议中，每一个网络结点是用IP地址标识的，IP地址是一个逻辑地址。而在以太网中数据包是靠48位MAC地址(物理地址)寻址的。因此，必须建立IP地址与MAC地址之间的对应(映射)关系，ARP协议就是为完成这个工作而设计的。 TCP/IP协议栈维护着一个ARP cache表，在构造网络数据包时，首先从ARP表中找目标IP对应的MAC地址，如果找不到，就发一个ARP request广播包，请求具有该IP地址的主机报告它的MAC地址，当收到目标IP所有者的ARP reply后，更新ARP cache.ARP cache有老化机制。 ARP协议的缺陷 ARP协议是建立在信任局域网内所有结点的基础上的，它很高效，但却不安全。也就是说ARP的缺陷都是存在于局域网内。它是无状态的协议，不会检查自己是否发过请求包，也不管(其实也不知道)是否是合法的应答，只要收到目标MAC是自己的ARP reply包或arp广播包(包括ARP request和ARP reply)，都会接受并缓存。这就为ARP欺骗提供了可能，恶意节点可以发布虚假的ARP报文从而影响网内结点的通信，甚至可以做“中间人”。 常见ARP欺骗形式 假冒ARP reply包(单播) XXX，I have IP YYY and my MAC is ZZZ! 假冒ARP reply包(广播) 其中mac置为全1，Hello everyone! I have IP YYY and my MAC is ZZZ!向局域网内的所有主机行欺骗。 假冒ARP request（广播） I have IP XXX and my MAC is YYY. 　　 Who has IP ZZZ? tell me please! 　　 表面为找IP ZZZ的MAC，实际是广播虚假的IP、MAC映射(XXX，YYY) 假冒ARP request（单播） 已知IP ZZZ的MAC 　　 Hello IP ZZZ! I have IP XXX and my MAC is YYY. 假冒中间人 这个有点像是下述的例子，即假冒主机。 ARP的防范 建立静态ARP表，然后关闭ARP。 这个方法不适用与大多数网络环境，因为这增加了网络管理的成本。但是对小规模的安全网络来说，