网络故障处理与优化 子任务一：sniffer异常流量案例分析 实验三、使用Sniffer进行ARP地址欺骗.docVIP

使用Sniffer进行ARP地址欺骗 一、实验目的 （1）掌握常见ARP欺骗类型和手段 （2）掌握ARP协议工作原理和格式 （3）掌握防范ARP地址欺骗的方法和措施 （4）掌握Sniffer Pro软件的使用 二、实验环境 网络环境（交换机1 台、路由器1台、计算机数台），Windows系统，sniffer 三、实验内容及步骤 【实验原理】 1)、ARP协议简介 ARP(Address Resolve Protocol)地址请求解析协议，用于寻找和IP 地址相对应的MAC地址。在RFC 826中定义了ARP协议的数据格式和类型。ARP协议属于在网络层的下部，可看作为网络层和数据链路层的接口，主要用于IPv4以太网。 ARP消息类型有2 种： ARP request：ARP 请求 ARP response： ARP应答 ARP协议格式如下： ARP 报文中各字段的意义： ??硬件类型：以太网接口类型为1 ??协议类型：IP协议类型为080016 ??操作：ARP请求为1，ARP应答为2 ??硬件地址长度：MAC地址长度为6B ??协议地址长度：IP地址长度为4B ??源MAC地址：发送方的MAC地址 ??源IP地址：发送方的IP地址 ??目的MAC 地址：ARP 请求中该字段没有意义；ARP 响应中为接收方的MAC 地址 ??目的IP 地址：ARP 请求中为请求解析的IP 地址；ARP 响应中为接收方 的IP地址 ARP 协议的改进： 高速缓存技术 高速缓存区中保存最近获得的ARP表项 高速缓冲区中ARP表项新鲜性的保持：计时器 实验表明高速缓冲区的使用可以大大提高ARP 的效率 其他改进技术 目的主机接收到ARP请求后将源主机的IP地址与物理地址映射关系存入自己的高速缓冲区 ARP请求是广播发送的，网络中的所有主机接收到ARP请求后都可以将源主机的IP 地址与物理地址映射关系存入自己的高速缓冲区 主机启动时主动广播自己的IP地址与物理地址的映射关系 2）arp欺骗原理 ARP欺骗的运作原理是由攻击者发送假的ARP封包到网络上，尤其是送到闸道器上。其目的是要让送至特定的IP地址的流量被错误送到攻击者所取代的地方。因此攻击者可将这些流量另行转送到真正的闸道（被动式封包嗅探，passive sniffing）或是篡改后再转送（中间人攻击，man-in-the-middle attack）。攻击者亦可将ARP封包导到不存在的 \o MAC位址 MAC位址以达到阻断服务攻击的效果，例如 \o Netcut netcut软件。 例如某一网络闸道的IP地址是192.168.0.254，其MAC位址为00-11-22-33-44-55，网络上的电脑内ARP表会有这一笔ARP记录。攻击者发动攻击时，会大量发出已将192.168.0.254的MAC位址篡改为00-55-44-33-22-11的ARP封包。那么网络上的电脑若将此伪造的ARP写入自身的ARP表后，电脑若要透过网络闸道连到其他电脑时，封包将被导到00-55-44-33-22-11这个MAC位址，因此攻击者可从此MAC位址截收到封包，可篡改后再送回真正的闸道，或是什么也不做，让网络无法连线。 Ethernet封包，ARP欺骗会篡改封包标头中的Source MAC位址（绿色段）以欺骗网络上的电脑及设备 简单案例分析：这里用一个最简单的案例来说明ARP欺骗的核心步骤。假设在一个局网里，只有三台主机A, B, C,C是攻击者。 攻击者聆听局网上的MAC地址。它只要收到两台主机洪泛的ARP Request,就可以进行欺骗活动。 主机A，B都洪泛了ARP Request.攻击者现在有了两台主机的IP、MAC地址，开始攻击。 攻击者发送一个 ARP Reply给主机B，把此包protocol header 里的sender IP设为A的IP地址， sender mac设为攻击者自己的MAC地址。 主机B收到ARP Reply后，更新它的ARP表，把主机 A的条目 (IP_A, MAC_A)改为(IP_A, MAC_C)。 当主机B要发送数据包给主机A时，它根据ARP表来封装数据包的Link报头，把目的MAC地址设为MAC_C,而非MAC_A. 当交换机收到B发送给A的数据包时，根据此包的目的MAC地址 (MAC_C) 而把数据包转发给攻击者C. 攻击者收到数据包后，可以把它存起来后再发送给A，达到偷听效果。攻击者也可以篡改数据后才发送数据包给A,造成伤害。 【实验步骤】 1）ARP常用命令 ARP命令功能：用于查看、添加和删除高速缓存区中的ARP表项 高速缓冲区中的ARP表项 动态表项：随时间推移自动添加和删除 静态表项：一直保留，直