Arp欺骗报告.doc

网络安全课程设计 ——ARP病毒的分析与防御 班级：网络081班 学号：0807100334 姓名：王毅 指导老师：葛志辉 完成时间：2011.10.15 目录 1.实验要求--------------------------------------------------------3 2.实验原理--------------------------------------------------------3 3.实验步骤--------------------------------------------------------5 4.构造ARP数据包-----------------------------------------------9 5.实验结果与分析----------------------------------------------12 6.防范措施-------------------------------------------------------14 7.实验总结-------------------------------------------------------17 一、实验要求 能够深入分析ARP病毒的原理，能够利用winpcap、libnet构造网络数据包，实现ARP病毒，并结合抓包工具设计ARP病毒的防范方案。 二、实验原理 ARP工作原理 每台主机都会根据以往在网络中与其他节点的通信，在自己的ARP缓存区（ARP?Cache）中建立一个ARP列表，以表示网络中节点IP地址和MAC地址的对应关系。当源节点需要将一个数据包发送到目标节点时，会首先检查自己ARP列表中是否存在该包中所包含的目标节点IP地址对应的MAC地址。如果有，则直接将数据包发送到这个MAC地址节点上；如果没有，就向本地网段发起一个ARP请求的广播包，查询此IP地址目标节点对应的MAC地址。此ARP请求数据包里包括源节点的IP地址、硬件地址，以及目标节点的IP地址。网络中所有的节点在收到这个ARP请求后，会检查数据包中的目标IP地址是否和自己的IP地址一致。如果不相同就忽略此数据包；如果相同，该节点首先将源端的MAC地址和IP地址的对应表项添加到自己的ARP列表中。如果发现ARP表中已经存在该IP地址所对应的MAC地址表项信息，则将其覆盖，然后给源节点发送一个ARP响应数据包，告诉对方自己是它需要查找的MAC地址节点。源节点在收到这个ARP响应数据包后，将得到的目标节点的IP地址和MAC地址对应表项添加到自己的ARP列表中，并利用此信息开始数据的传输。如果源节点一直没有收到ARP响应数据包，则表示ARP查询失败。ARP欺骗　　 中间人攻击　　 这种攻击是网络监听的一种方式。攻击者进入两台通信的计算机之间，通过某种手段窃取一台机器给另一台机器发送的数据包，然后将数修改再转发给另一台机器，攻击者对这两台计算机来说是透明的。具体过程如下。　　假设三台计算机A、B、C。机器C修改A的ARP缓存表，将表中B的IP地址对应的MAC地址改成C的MAC地址。当A给B发送数据时，就使用了B的IP地址与C的MAC地址。使给B发送的数据全部发给了C。同理修改目标机B的ARP缓存表使A的IP地址对应的MAC地址改成C的MAC地址。最终A与B之间通信的数据就全部经过C，之后C又把数据发给A和B。　　2 ）克隆攻击　　克隆攻击是另外一种ARP欺骗的方式。现在我们已经可以通过硬件或软件工具来修改网络接口的MAC地址，Linux用户甚至只需要用ifconfig命令修改一个参数就能修改。攻击者通过拒绝服务攻击使目标主机与外界失去联系，然后攻击者将自己的IP和MAC地址改成目标机的IP和MAC地址，这样攻击者的主机就成为和目标机一样的副本。winpcap(windows packet capture)是windows平台下一个免费，公共的网络访问系统。开发winpcap这个项目的目的