arp攻击和欺骗实验文档.docVIP

Arp攻击和欺骗实验 实验要求： 打开三台虚拟机，win XP（192.168.1.1），2003（192.168.1.2），win7 （192.168.1.3） 各一台 通过在win7上安装winshark抓包分析工具，分析局域网中ARP攻击和欺骗，并找到攻击源 Wireshark的界面 选择要分析的网卡接口 测试192.168.1.2ping192.168.1.1，分析测试包 分析：二层数据帧中的源mac地址是8b：c2（192.168.1.2）目的mac地址为79：c8（192.168.1.1）上层封装的协议为ip协议，三层数据包使用的是ipv4，头部长度为20字节，总长度为60字节，TTL值为128，使用的协议是icmp协议，是一个请求包（1）。 在2003上安装arp攻击工具，制造arp攻击现象，结合捕获数据包分析arp攻击原理（要求有分析文字） 使用长角牛网络监控机（网络执行法官） 添加要指定的ip范围（指定的ip范围不idingshi监控卡所处的网段，只要是监控主机可以访问到得局域网均可监控） 自动搜索到的主机 点中要攻击的主机然后右击—手工管理—选择管理方式—开始 进行对192.168.1.1arp攻击 测试192.168.1.1是否能够ping通192.168.1.2，同时开启wireshare进行抓包分析 从图中分析得到： 抓到的是一个arp包，实际是79:c8（1.1）ping8b：c2（1.2），但是3a：0d（1.3）发送给192.168.1.1一个arp应答告诉192.168.1.2的mac地址是6e:82（虚假mac地址），使用的是arp攻击。使得192.168.1.1无法与192.168.1.2通信。操作代码为2（应答包），三层的协议类型为ip协议。 在2003上安装arp欺骗工具，制造arp欺骗现象，结合捕获数据包，分析arp欺骗原理（要求有文字分析） 安装arp欺骗工具 添加选项 搜索主机 开始进行192.168.1.2和192.168.1.1放毒欺骗 与arp攻击不同的是，进行arp欺骗不会导致无法访问网络，而是通过冒充网关或其他主机使到达网关或主机的流量通过攻击主机进行转发，通过转发流量可以对流量进行控制和查看，从而控制流量或得到机密信息。 分析arp欺骗： 抓到的是一个arp欺骗包，二层数据帧中的源mac地址为3a：0d（192.168.1.3）是攻击主机的mac地址，攻击主机发送给8b：c2(192.168.1.2)一个应答包（操作代码为2reply）告诉它192.168.1.1的mac地址是3a:0d（实际是192.168.1.3的mac地址 攻击主机），使得192.168.1.1与192.168.1.2在通信的过程中要经过192.168.1.2，可以对流量和信息进行控制。 解决arp攻击，安装arp防火墙 在xp上面安装arp防火墙 测试攻击主机攻击192.168.1.1，用arp防火墙拦截 可以看到arp防火墙的状态拦截 这时192.168.1.1就无法与192.168.1.2通信 打开arp防火墙—工具—高级设置—防御—始终启用 这时就可以通信了。（要查看缓存表，并且清除缓存表） 解决arp欺骗，静态mac地址绑定 如果网络中有路由器或交换机的话要在路由器上或交换机上绑定静态的mac地址 在这的实验环境中，只要在主机上绑定 Arp –s ip地址 mac地址