| 实训项目名称 | ARP攻击的实现和分析 | 实训时间 | ||
| 所属课程 | 《网络安全的实现和管理》 | 指导教师 | ||
| 实训目标 | 1.通过使用软件抓包改包,实现ARP攻击,进而形象化的理解ARP攻击的原理,理解ARP攻击的不可防范性 2.编写ARP绑定的批处理文件,防止ARP欺骗 | |||
| 实训拓扑 | ||||
| 实训设备 | 两台Windows Server 2003 SP2虚拟机,一台Windows XP Professional SP3虚拟机 | |||
| 设备配置清单 | 详细的TCP/IP参数: 设备名称 | IP地址 | 子网掩码 | MAC地址 |
| PC1 | 111.111.111.2 | 255.255.255.0 | 00-0C-29-1C-1B-48 | |
| PC2 | 111.111.111.3 | 255.255.255.0 | 00-0C-29-17-A1-50 | |
| PC3 | 111.111.111.4 | 255.255.255.0 | 00-0C-29-07-EE-F7 | |
| 设备名称 | 摘要说明 | ||
| PC1 | 安装CommView软件(需要放在C盘下运行),设置网卡连接方式为Host-only,使捕获数据包时只捕获到三台虚拟机之间的通信数据包 | ||
| PC2 | 设置网卡连接方式为Host-only | ||
| PC3 | 设置网卡连接方式为Host-only | ||
| 实训过程详细说明 | 1.首先按拓扑图配好IP地址,确保相互都可以ping通 2.分别记下三台机子的MAC地址 3.在PC1、PC2和PC3的命令行中输入arp –d,清除arp缓存(这样在ping的时候才会发送广播),再输入arp –a查看arp缓存,看是否清除:
4.进行arp欺骗实验: 在PC1上,运行CommView软件,单击开始运行:
在PC3上,pingPC2:
查看PC1的ARP缓存,收到PC3的广播包:
查看捕获的数据包,找到PC3的广播包:
右键单击上图中的记录,单击“发送封包”——“选择”,重新发送这个广播包: 更改数据包,将发送者sender的MAC地址改为不存在的00-0C-29-07-EE-F8: 单击发送,开始发送假的arp广播包, 用PC2 ping PC3,ping不通: 查看PC2上的arp缓存,存储的是假的IP与MAC地址映射: 用PC1 ping PC3 ,也无法ping通: 查看arp缓存,记录的也是错误的arp信息: 在PC2上编写绑定静态arp的批处理文件: 保存为后缀名为BAT的批处理文件: 运行这个批处理文件: 这时发现会不断运行,注意要保存为文件名不是ARP的文件,就会恢复正常,只运行一次了: 运行一下123这个批处理文件,在欺骗的ARP数据包仍在发送的情况下,用PC2 ping PC3,通: 查看ARP缓存,有一条静态ARP记录: 但PC1仍旧不能ping 通PC3 5.认识arp攻击的不可防范性: A.因为广播包在局域网内所有人都会收到,所以它是很难防范的一种攻击,尤其在工作组环境下,很难一个一个的去配置静态ARP绑定,也因此很难防范。 而在域环境下,可以分发批处理文件达到静态绑定arp。 B.因为arp攻击发送虚假信息包的速度远比正确的发送的快,所以,局域网内的机子保存的动态arp缓存中都是错误的IP地址与MAC地址映射关系。 | ||
