实验-ARP地址欺骗实验Word格式文档下载.doc

实验-ARP地址欺骗实验Word格式文档下载.doc

《实验-ARP地址欺骗实验Word格式文档下载.doc》由会员分享，可在线阅读，更多相关《实验-ARP地址欺骗实验Word格式文档下载.doc（10页珍藏版）》请在冰点文库上搜索。

3、实验原理

1）、ARP协议简介

ARP（AddressResolveProtocol）地址请求解析协议，用于寻找和IP地址相对应的MAC地址。

在RFC826中定义了ARP协议的数据格式和类型。

ARP协议属于在网络层的下部，可看作为网络层和数据链路层的接口，主要用于IPv4以太网。

ARP消息类型有2种：

ARPrequest：

ARP请求

ARPresponse：

ARP应答

ARP协议格式

数据封装过程

用于以太网的ARP请求或应答分组格式

以太网帧的格式

ARP报文中各字段的意义

l硬件类型：

以太网接口类型为1

l协议类型：

IP协议类型为080016

l操作：

ARP请求为1，ARP应答为2

l硬件地址长度：

MAC地址长度为6B

l协议地址长度：

IP地址长度为4B

l源MAC地址：

发送方的MAC地址

l源IP地址：

发送方的IP地址

l目的MAC地址：

ARP请求中该字段没有意义；

ARP响应中为接收方的MAC地址

l目的IP地址：

ARP请求中为请求解析的IP地址；

ARP响应中为接收方的IP地址

ARP协议的改进

高速缓存技术

l高速缓存区中保存最近获得的ARP表项

l高速缓冲区中ARP表项新鲜性的保持：

计时器

l实验表明高速缓冲区的使用可以大大提高ARP的效率

其他改进技术

l目的主机接收到ARP请求后将源主机的IP地址与物理地址映射关系存入自己的高速缓冲区

lARP请求是广播发送的，网络中的所有主机接收到ARP请求后都可以将源主机的IP地址与物理地址映射关系存入自己的高速缓冲区

l主机启动时主动广播自己的IP地址与物理地址的映射关系

4、实验步骤

1）掌握常用的ARP常用命令

ARP命令：

功能：

用于查看、添加和删除高速缓存区中的ARP表项

高速缓冲区中的ARP表项

l动态表项：

随时间推移自动添加和删除

l静态表项：

一直保留，直到人为删除或重新启动计算机

Windows中ARP表项的潜在生命周期：

10分钟

l新表项加入时定时器开始计时

l表项添加后两分钟内没有被再次使用：

删除

l表项被再次使用：

增加2分钟的生命周期

l表项始终在使用：

最长生命周期为10分钟

Arp–a//查看计算机的ARP缓存

Arp–s172.29.16.13401-12-23-34-45-56

//将IP地址172.29.16.134和MAC地址01-12-23-34-45-56静态绑定

Arp–d172.29.16.134//删除IP地址172.29.16.134的静态绑定

Arp缓存中的IP地址和MAC地址的映射表是有生存期的，每过一段时间就会过期，这时则要重新获取MAC地址。

另外，当计算机重新启动时，ARP缓存表也会被清空。

2）利用SnifferPro捕获ARP数据包并进行分析

（1）启动SnifferPro，选择要监听的网卡。

（在实验室环境选择实际的网卡，不要选择虚拟网卡）。

选择要监听的网卡图示

（2）登录该网卡

（3）点击开始，开始监听数据

（4）对照ARP格式，分析各字段的意思。

3）利用SinfferPro发送伪造的ARP数据包。

选择发送当前数据帧的按钮，如图所示。

在这里我们要修改发送的数据帧。

比如说，要想对某台主机172.168.16.134（转换成十六进制为ac1d1086）欺骗,将其MAC地址欺骗为00-11-22-33-44-55。

也就是说，欺骗之后，网络上的计算机都认为IP地址为172.168.16.134的主机MAC地址为00-11-22-33-44-55。

所以，当网络的主机要和172.168.16.134进行通信时，便发生了故障。

该欺骗的原理，就是冒充172.168.16.134主机发出一个ARP请求，那么网络上接收到该请求的计算机都会更新本机的ARP表，从而获得一个错误的消息。

要发送的帧如下图。

大家在修改该帧的字段时，要对照ARP协议的报文格式来进行。

注意：

如果所攻击IP为网关（路由器）的IP地址，则该操作对网络来说会产生严重的后果，造成网络内所有的计算机都不能连上Internet，请勿在实验室以外的地方使用，否则后果自负。

这是针对网关的一种ARP欺骗，数据包是以广播的方式发送。

点击发送之后，再查看网络内各主机的ARP缓存表，会发现出现以下情况：

实验验证

从上面可以看到172.29.16..134的MAC地址变成了一个错误的MAC地址。

导致无法通信。

5、课后思考

a、查找相关资料，了解ARP欺骗的发现和防范。

b、利用WinPcap，编写程序来实现接收和发送ARP数据包。

本实验利用Sniffer冒充所要攻击的主机发送伪造arp数据包，数据包中将一个不存在的MAC地址与目的主机（所要攻击的主机）地址绑定，从而欺骗网络中的其他主机，导致无法正常通信，最终达到攻击的目的。

通过本实验，掌握了基本操作方法步骤，理解了数据包欺骗的原理，增强了综合分析的能力。

同时，除了采用Sniffer进行伪造数据包之外，还可以通过WinPcap来进行编程，实现数据包的伪造发送与接收，这点仍需学习研究。

此外，此实验让我明白了ARP欺骗的发现与防范的重要性与实践的方法。

总之，此次实验让我学到很多，对今后的进一步学习有很大帮助与促进作用。