arp欺骗分析和总结.docxVIP

PAGE PAGE 10 综合实验 一、实验要求： 要求 1、通过网络故障现象，分析各种原因，最后找出故障，解决故障。 目的 掌握 ARP 协议的工作原理和解析过程。 分析 ARP 地址欺骗原理及其过程。3．熟练掌握网络数据包分析工具的使用。4．掌握TCP/IP 故障排除方法。 二、实验要求 实验前认真预习 ARP 地址协议及其地址解析过程，尤其是 ARP 地址欺骗方法及原理；在进行实验时，应注意爱护机器，按照试验指导书的要求的内容和步骤完成实验，尤其应注意认真观察试验结果，做好记录；实验完成后应认真撰写实验报告。 三、实验原理 ARP 协议 ARP，全称 Address Resolution Protocol，中文名为地址解析协议，它工作在数据链路层，在本层和硬件接口联系，同时对上层提供服务。IP 数据包常通过以太网发送，以太网设备并不识别 32 位 IP 地址，它们是以 48 位以太网地址传输以太网数据包。因此，必须把 IP 目的地址转换成以太网目的地址。这个过程称为地址解析，用于将 IP 地址解析成硬件地址的协议就被称为地址解析协议（ARP 协议）。即 ARP 协议用于将网络中的 IP 地址解析为的硬件地址（MAC 地址），以保证通信的顺利进行，这个过程是动态、自动完成且对用户是透明的。 ARP 报头结构 ARP 报头结构，如上图所示。 硬件类型字段：指明了发送方想知道的硬件接口类型，以太网的值为 1； 协议类型字段：指明了发送方提供的高层协议类型，IP 为 0800（16 进制）；硬件地址长度和协议长度：指明了硬件地址和高层协议地址的长度，这样 ARP 报文就可以在任意硬件和任意协议的网络中使用； 操作字段：用来表示这个报文的类型，ARP 请求为 1，ARP 响应为 2，RARP 请求为 3，RARP 响应为 4； 发送方的硬件地址（0-3 字节）：源主机硬件地址的前 3 个字节；发送方的硬件地址（4-5 字节）：源主机硬件地址的后 3 个字节；发送方 IP（0-1 字节）：源主机硬件地址的前 2 个字节； 发送方 IP（2-3 字节）：源主机硬件地址的后 2 个字节； 目的硬件地址（0-1 字节）：目的主机硬件地址的前 2 个字节；目的硬件地址（2-5 字节）：目的主机硬件地址的后 4 个字节；目的 IP（0-3 字节）：目的主机的 IP 地址。 ARP 工作原理 ARP 的工作原理如下： 首先，每台主机都会在自己的 ARP 缓冲区 (ARP Cache)中建立一个 ARP 列表，以表示 IP 地址和 MAC 地址的对应关系。 当源主机需要将一个数据包要发送到目的主机时，会首先检查自己 ARP 列表中是否存在该 IP 地址对应的MAC 地址，如果有﹐就直接将数据包发送到这个 MAC 地址；如果没有，就向本地网段发起一个ARP 请求的广播包，查询此目的主机对应的 MAC 地址。此 ARP 请求数据包里包括源主机的 IP 地址、硬件地址、以及目的主机的 IP 地址。 网络中所有的主机收到这个 ARP 请求后，会检查数据包中的目的 IP 是否和 自己的 IP 地址一致。如果不相同就忽略此数据包；如果相同，该主机首先将发送端的 MAC 地址和 IP 地址添加到自己的 ARP 列表中，如果ARP 表中已经存在该 IP 的信息，则将其覆盖，然后给源主机发送一个 ARP 响应数据包，告诉对方自己是它需要查找的 MAC 地址； 源主机收到这个 ARP 响应数据包后，将得到的目的主机的 IP 地址和 MAC 地址添加到自己的 ARP 列表中，并利用此信息开始数据的传输。如果源主机一直没有收到 ARP 响应数据包，表示 ARP 查询失败。 ARP 地址欺骗的原理 ARP 欺骗分两种，一种是对路由器 ARP 表的欺骗；另一种是对内网 PC 的网关欺骗。第一种 ARP 欺骗的原理是－截获网关数据。它通知路由器一系列错误的内网 MAC 地址，并按照一定的频率不断的更新学习进行，使真实的地址信息无法通过更新保存在路由器中，结果路由器的所有数据只能发送错误的 MAC 地址，造成正常的 PC 无法收到信息。第二种 ARP 欺骗原理是－通过交换机的 MAC 地址学习机制，伪造网关。它的原理是建立假的网关，让被它欺骗的 PC 向假网关发送数据，而不是通过正常的路由器或交换途径寻找网关，造成在同一网关的所有 PC 无法访问网络。 本实验主要是对内网 PC 的网关进行欺骗。如何防止 ARP 欺骗呢？ 1、不要把你的网络安全信任关系建立在 ip 基础上或 mac 基础上。 2、设置静态的 mac--ip 对应表，不要让主机刷新你设定好的转换表。 3、除非很有必要，否则停止使用 ARP，将 ARP 做为永久条目保存在对应表中。 4、使用ARP 服务器。通