1、實驗二十三 ARP 地址【實驗?zāi)康摹考由顚?ARP 高速緩存的理解；了解 ARP 協(xié)議的缺陷；3. 增強意識?！緦嶒瀸W(xué)時】2 學(xué)時【實驗環(huán)境】在本實驗中需要 1 臺路由、1 臺交換機、1 臺協(xié)議分析儀、2 臺實驗 PC，使用協(xié)議分析儀數(shù)據(jù)包，對到的數(shù)據(jù)進行分析。將所有的設(shè)備都接入到交換機上，并在交換機上配置端口映像功能，具體 IP 分配如下表：表 7-1 設(shè)備 IP 地址分配表設(shè)備連接如下圖所示：圖 7-1 實驗拓撲圖設(shè)備接口IP 地址連接到交換機PCAEth0192.168.0.2/24FA0/8PCBEth0192.168.0.3/24FA0/9RSR-AFA0/0192.168.0.1/

2、24FA0/10RG-PATS 網(wǎng)絡(luò)協(xié)議分析儀Eth0192.168.0.10/24FA0/24第七章 網(wǎng)絡(luò)攻防實驗【實驗內(nèi)容】1、學(xué)習(xí) ARP 地址的原理；2、搭建網(wǎng)絡(luò)實現(xiàn) ARP 地址3、了解怎樣防范 ARP 地址過程；?！緦嶒灹鞒獭繄D 7-2 實驗流程圖【實驗原理】ARP 報文格式：地址轉(zhuǎn)換協(xié)議（ARP）是用來實現(xiàn) IP 地址與本地網(wǎng)絡(luò)認知的物理地址（以太網(wǎng) MAC 地。在 IPv4 中，IP 地址長為 32 位。然而在以太局域網(wǎng)絡(luò)中，設(shè)備地址長為址）之間的48 位。有一張表格，通常稱為 ARP 緩沖（ARP cache），來維持每個 MAC 地址與其相應(yīng)的 IP 地址之間的對應(yīng)關(guān)系。A

3、RP 提供一種形成該對應(yīng)關(guān)系的規(guī)則以及提供雙向地址轉(zhuǎn)換。在 TCP/IP 網(wǎng)絡(luò)環(huán)境下，一個 IP 數(shù)據(jù)包到達目的地所經(jīng)過的網(wǎng)絡(luò)路徑是由路由器根據(jù)數(shù)據(jù)包的目的 IP 地址查找路由表決定的，但 IP 地址只是主機在網(wǎng)絡(luò)層中的地址，要在實際的物理鏈傳送數(shù)據(jù)包，還需要將 IP 數(shù)據(jù)包封裝到 MAC 幀后才能發(fā)送到網(wǎng)絡(luò)中。同一鏈的哪臺主機接收這個 MAC 幀是依據(jù)該 MAC 幀中的目的 MAC 地址來識別的，即除了同一鏈將網(wǎng)卡置為混雜模式的主機外，只有當某臺主機的 MAC 地址和鏈路中傳輸?shù)腗AC 幀的目的 MAC 地址相同時，該主機才會接收這個 MAC 幀并拆封為 IP 數(shù)據(jù)包交給上層模塊處理。因此，

4、每一臺主機在發(fā)送鏈路層數(shù)據(jù)幀前都需要知道同一鏈接收方的 MAC地址，地址協(xié)議 ARP 正是用來進行 IP 地址到 MAC 地址的轉(zhuǎn)換的。同時為了避免不必要的 ARP 報文查詢，每臺主機的操作系統(tǒng)都著一個 ARP 高速關(guān)系。ARP 高緩存 ARP Cache，著同一鏈其它主機的 IP 地址到 MAC 地址的速緩存通常是動態(tài)的，該緩存可以手工添加靜態(tài)條目，由系統(tǒng)在一定的時間間隔后進行刷新。ARP 協(xié)議雖然是一個高效的數(shù)據(jù)鏈路層協(xié)議，但作為一個局域網(wǎng)協(xié)議，它是建立在各主機之間相互信任的基礎(chǔ)上的，所以 ARP 協(xié)議存在以下缺陷：ARP 高速緩存根據(jù)所接收到的 ARP 協(xié)議包隨時進行動態(tài)更新；ARP 協(xié)

5、議沒有連接的概念，任意主機即使在沒有 ARP請求的時候也可以做出應(yīng)答；ARP 協(xié)議沒有認證機制，只要接收到的協(xié)議包是有效的，主機就無條件的根據(jù)協(xié)議包的內(nèi)容刷新本機 ARP 緩存，并查該協(xié)議包的。因此攻擊者可以隨時發(fā)送虛假 ARP 包更新被。如下圖是 ARP 協(xié)議的報文格式：主機上的 ARP 緩存，進行地址或服務(wù)圖 7-3 ARP 報文Hardware Type 指定一種硬件接口類型，為發(fā)送方請求響應(yīng)所用。Protocol Type 指由發(fā)送方提供的高級協(xié)議地址類型。Hlen 硬件地址大小。Plen 協(xié)議地址大小。Operation 各個值如下表所示：圖 7-4 operation 選項第七章

6、網(wǎng)絡(luò)攻防實驗Sender Hardware Address 發(fā)送者硬件地址。Sendrotocol Address 發(fā)送者協(xié)議地址。Hardware Address 目標硬件地址。Protocol Address 目標協(xié)議地址。ARP原理：ARP 協(xié)議的作用是在處于同一個子網(wǎng)中的主機所的局域網(wǎng)部分中將 IP 地址到 MAC 地址。當有人在未獲得時就企圖更改 MAC 和 IP 地址的 ARP 表格中的信息時，就發(fā)生了 ARP。通過這種方式，們可以MAC 或 IP 地址，以便實施如下的兩種ARP騙。：服務(wù)和中間人。分為二種，一種是對路由器 ARP 表的；另一種是對內(nèi)網(wǎng) PC 的網(wǎng)關(guān)欺第一種 ARP

7、的原理是：截獲網(wǎng)關(guān)數(shù)據(jù)。它不斷向路由器發(fā)送一系列錯誤的內(nèi)網(wǎng)MAC 地址，使真實信息無法通過更新保存在路由器中，造成正常 PC 無法收到信息。第二種 ARP的 PC 向假網(wǎng)的原理是：網(wǎng)關(guān)。它是建立假網(wǎng)關(guān)，讓被它數(shù)據(jù)，使 PC 無法上網(wǎng)。針對交換機根據(jù)目的 MAC 地址來決定數(shù)據(jù)包轉(zhuǎn)發(fā)端口的特點，如下圖所示：圖 7-5 ARPARP的實現(xiàn)：假設(shè)主機 C 為實施 ARP的者，其目的是截獲主機 B 和主機 A 之間的通數(shù)據(jù)，且主機 C 在實施 ARP前已經(jīng)預(yù)先知道 A 和 B 的 IP 地址。這時 C先發(fā)送 ARP 包獲得主機 B 的 MAC 地址，然后向 B 發(fā)送 ARP Reply 數(shù)據(jù)包，其中源

8、 IP 地址為 A 的 IP 地址，但是源 MAC 地址卻是主機 C 的 MAC 地址。主機 B 收到該 ARP Reply后，將根據(jù)新的 IP 地址與 MAC對更新 ARP 緩存。這以后當 B 給 A 發(fā)送數(shù)據(jù)包時，目標 MAC 地址將使用 C 的 MAC 地址，因此交換機根據(jù) C 的 MAC 地址就將數(shù)據(jù)包轉(zhuǎn)發(fā)到攻擊者 C 所在的端口。同理，者 C 發(fā)送 ARP Reply 使主機 A 確信主機 B 的 MAC 地址為C 的 MAC 地址。在間歇的發(fā)送虛假 ARP Reply 的同時，者 C 打開本機的路由功能，將被劫持的數(shù)據(jù)包轉(zhuǎn)發(fā)到正確的目的主機，這時的，通信不會出現(xiàn)異常，但實際上數(shù)據(jù)包

9、卻被 C者對主機 A 和 B 來說是完全透明截獲，者 C 成為了“中間人”。假定者想對主機 B 實施 ARP，那么他可以先對主機 A 進行服務(wù)（入侵者可以利用 ARP 協(xié)議造成：者發(fā)送大量的 ARP 請求報文，且報文的 IP 地址與MAC 地址不一致，造成響應(yīng)主機主機不得不花很多時間處理這些請求）使其暫時掛起或干脆趁主機 A 關(guān)機時進行，然侵者用主機 A 的 IP 地址向主機 B 發(fā)送 ARP 請求報文，這樣在主機 B 的高速緩存中就更新了原來主機 A 的 IP 地址物理地址的。若原來主機 A和主機 B 有某種信任關(guān)系，那么現(xiàn)在主機 B 就和者的機器有了同樣的信任關(guān)系。ARP1只根據(jù)對象的不同

10、可以分為三種，受害主機。實施后效果如下：如下圖圖 7-6主機2. 只路由器、網(wǎng)關(guān)。實施后效果如下：如下圖圖 7-6網(wǎng)關(guān)第七章 網(wǎng)絡(luò)攻防實驗3. 雙向，即前面兩種方法的組合使用。實施后的效果如下：如下圖圖 7-7 雙向ARP帶來的危害可以分為幾大類網(wǎng)絡(luò)異常。具體表現(xiàn)為：掉線、IP等。數(shù)據(jù)竊取。具體表現(xiàn)為：個人隱私泄漏（如 MSN、郵件等）、賬號用（如賬號、等）。的網(wǎng)頁被添加了數(shù)據(jù)篡改。具體表現(xiàn)為：內(nèi)容，俗稱“掛馬”?？刂?。具體表現(xiàn)為：網(wǎng)絡(luò)速度、網(wǎng)絡(luò)行為（例如某些網(wǎng)頁打不開、某些網(wǎng)絡(luò)應(yīng)用程序用不了）受第三者控制。ARP根據(jù)發(fā)起的不同可以分為兩類人為ARP。人為。ARP的目的主要是：造成網(wǎng)絡(luò)異常、竊

11、取數(shù)據(jù)、控制。不是特指某一種，而是指所有包含有 ARP功能的的總稱。ARP的目的主要是：竊取數(shù)據(jù)（等）、篡改數(shù)據(jù)（掛馬等）。防止 ARP：ARP，防止 ARP主機 IP 地址物理地址最直接的最有效的方法是不使用 ARP。在主機中將信任的作為條目保存在 ARP 高速緩存中，而不去響應(yīng) ARP 請求，這樣做的缺點就是需要人工來修改這種關(guān)系。檢測：作為基本的預(yù)防措施，主機地接收來自網(wǎng)絡(luò)上的 ARP 廣播報主機級的文請求，若 ARP 報文中 IP 地址與本 IP 地址一致，則認為是一種，或發(fā)送者物理地址與原來 IP物理地址不致，也可能是一種，而告警。主機級的主動檢測：檢測 ARP的另一種預(yù)防措施是安排

12、主機在預(yù)先啟動時候，發(fā)送對自己 IP 地址的 ARP 請求報文，如果能收到 ARP 響應(yīng)，則 IP將向主機用戶或管理檢測到的 ARP。用自己的 IP 地址主動詢問 ARP 能發(fā)現(xiàn) IP 地址配置錯誤，還能抓住簡單使用操作系統(tǒng)故意配置錯誤 IP 地址進行 ARP的者。服務(wù)級檢測：作為另一種選擇，更復(fù)雜的預(yù)防措施是從響應(yīng)報文中獲得的硬件地址生成一個 RARP 請求報文，以此來檢測 ARP 響應(yīng)的真實性。網(wǎng)絡(luò)級檢測：可以定期地主機上的 ARP 高速緩存來檢測 IP 地址物理地址的映射關(guān)系的變化，或者將網(wǎng)絡(luò)中的某個接口保持在混雜模式方式來網(wǎng)絡(luò)中發(fā)送的每個數(shù)據(jù)包，并可網(wǎng)絡(luò)負載以及檢測出 IP 地址物理地

13、址關(guān)系的變化，同時將這種變化立即給管理員。【實驗步驟】步驟一：設(shè)定環(huán)境按照拓撲結(jié)構(gòu)圖連接到網(wǎng)絡(luò)，配置網(wǎng)關(guān)路由器的 IP 地址為 192.168.0.1，：圖 7-8 配置網(wǎng)關(guān)配置 PCA 計算機的 IP 地址為 192.168.0.2，如下圖所示：圖 7-9 配置主機 IP 地址第七章 網(wǎng)絡(luò)攻防實驗配置 PCB 計算機的 IP 地址為 192.168.0.3，如下圖所示：圖 7-10 配置主機IP 地址在路由器上使用 show arp 命令查看 arp 列表，如下圖所示：圖 7-11 在路由器上查看 ARP 緩存表步驟二：網(wǎng)關(guān)在 PCA 上使用 arp a 命令查看網(wǎng)關(guān)的 arp 的列表，如下

14、圖所示：圖 7-12 在主機上查看 ARP 緩存表通過上面命令可以看到真實網(wǎng)關(guān)的 MAC 地址為 00-d0-f8-6b-c8-1a，可以通過發(fā)送 ARP數(shù)據(jù)包改變客戶機的 ARP 列表，將網(wǎng)關(guān)的 MAC 地址改變 00-d0-f8-6b-c8-2a。使用 RG-PATS 協(xié)議儀的協(xié)議數(shù)據(jù)發(fā)生器編輯 ARP 數(shù)據(jù)包，模擬網(wǎng)關(guān)路由器發(fā)送 ARP更新信息，改變客戶機的 arp 列表。首先打開 RG-PATS 協(xié)議儀數(shù)據(jù)包發(fā)生器，點擊菜單欄 “添加”，如下圖所示：圖 7-13 添加報文添加一個 ARP 協(xié)議模板，并將時間差設(shè)置為 3 毫秒，點擊確認添加，如下圖所示：圖 7-14 添加 ARP 協(xié)議模

15、板修改協(xié)議模板的每個值：Ethernet II 封裝：目標物理地址：-原物理地址：00-D0-F8-6B-C8-2A類型：0806 ARP 封裝：硬件類型：1 協(xié)議類型：800硬件地址長度：6協(xié)議地址長度：4操作碼：2發(fā)送物理地址：00-D0-F8-6B-C8-2A發(fā)送 IP 地址：192.168.0.1目的物理地址：-目的 IP 地址：255.255.255.0下圖是編輯完成并經(jīng)過校驗的數(shù)據(jù)包：第七章 網(wǎng)絡(luò)攻防實驗圖 7-15 編輯完成的 ARP 報文編輯完成后，點擊發(fā)送，如下圖所示：圖 7-16 報文發(fā)送數(shù)量在 PCA 上使用命令 arp a 命令來查看 arp 表項，如下圖所示：圖 7-

16、17 查看網(wǎng)關(guān)的 ARP這時關(guān)于網(wǎng)關(guān) 192.168.0.1 的 MAC為 00-d0-f8-6b-c8-2a。步驟三：主機PCB 在PCA 的 arp 表的MAC 地址為 00-15-c5-65-ea-32，如下圖所示：圖 7-18 查看主機的 ARP使用 RG-PATS 協(xié)議儀的協(xié)議數(shù)據(jù)發(fā)生器編輯 ARP 數(shù)據(jù)包，模擬 PCB 發(fā)送 ARP 更新信息，改變 PCA 和路由器網(wǎng)關(guān)的 arp 列表，從而實現(xiàn) ARP儀數(shù)據(jù)包發(fā)生器，點擊菜單欄“添加”，如下圖所示：。首先打開 RG-PATS 協(xié)議圖 7-19 添加報文添加一個 ARP 協(xié)議模板，并將時間差設(shè)置為 3 毫秒，點擊確認添加，如下圖所示：圖 7-20 添加 ARP 協(xié)議模板修改協(xié)議模板的每個值：Ethernet II 封裝：目標物理地址：-原物理地址：00-D0-F8-6B-11-11類型：0806ARP 封裝：硬件類型：1協(xié)議類型：800硬件地址長度：6第七章 網(wǎng)絡(luò)攻防實驗協(xié)議地址長度：4操作碼：2發(fā)送物理地址：00-D0-F8-6B-11-11發(fā)送 I