arp欺骗.doc

1 综合实验一、实验要求: 要求 1、通过网络故障现象,分析各种原因,最后找出故障,解决故障。目的 ARP 协议的工作原理和解析过程。 ARP 地址欺骗原理及其过程。 3 .熟练掌握网络数据包分析工具的使用。 4 .掌握 TCP/IP 故障排除方法。二、实验要求实验前认真预习 ARP 地址协议及其地址解析过程,尤其是 ARP 地址欺骗方法及原理;在进行实验时,应注意爱护机器,按照试验指导书的要求的内容和步骤完成实验,尤其应注意认真观察试验结果,做好记录;实验完成后应认真撰写实验报告。三、实验原理 1. ARP 协议 ARP ,全称 Address Resolution Protocol ,中文名为地址解析协议,它工作在数据链路层,在本层和硬件接口联系,同时对上层提供服务。IP数据包常通过以太网发送,以太网设备并不识别 32位IP 地址,它们是以 48 位以太网地址传输以太网数据包。因此,必须把 IP 目的地址转换成以太网目的地址。这个过程称为地址解析,用于将 IP地址解析成硬件地址的协议就被称为地址解析协议(ARP 协议)。即ARP 协议用于将网络中的 IP 地址解析为的硬件地址( MAC 地址) ,以保证通信的顺利进行,这个过程是动态、自动完成且对用户是透明的。 2. ARP 报头结构 2 ARP 报头结构,如上图所示。硬件类型字段:指明了发送方想知道的硬件接口类型,以太网的值为 1; 协议类型字段:指明了发送方提供的高层协议类型, IP为0800 (16进制); 硬件地址长度和协议长度:指明了硬件地址和高层协议地址的长度,这样 ARP 报文就可以在任意硬件和任意协议的网络中使用; 操作字段:用来表示这个报文的类型, ARP 请求为 1,ARP 响应为 2,RARP 请求为 3,RARP 响应为 4; 发送方的硬件地址( 0-3 字节):源主机硬件地址的前 3个字节; 发送方的硬件地址( 4-5 字节):源主机硬件地址的后 3个字节; 发送方 IP(0-1 字节):源主机硬件地址的前 2个字节; 发送方 IP(2-3 字节):源主机硬件地址的后 2个字节; 目的硬件地址( 0-1 字节):目的主机硬件地址的前 2个字节; 目的硬件地址( 2-5 字节):目的主机硬件地址的后 4个字节; 目的 IP(0-3 字节):目的主机的 IP地址。 3 .ARP 工作原理 ARP 的工作原理如下: 1. 首先,每台主机都会在自己的 ARP 缓冲区(ARP Cache) 中建立一个 ARP 列表,以表示 IP地址和 MAC 地址的对应关系。 2. 当源主机需要将一个数据包要发送到目的主机时,会首先检查自己 ARP 列表中是否存在该 IP地址对应的MAC地址,如果有﹐就直接将数据包发送到这个MAC 地址;如果没有,就向本地网段发起一个 ARP 请求的广播包,查询此目的主机对应的MAC 地址。此 ARP 请求数据包里包括源主机的 IP 地址、硬件地址、以及目的主机的 IP地址。 ARP 请求后,会检查数据包中的目的 IP是否和自己的 IP 地址一致。如果不相同就忽略此数据包;如果相同,该主机首先将发送端的 MAC 地址和 IP地址添加到自己的 ARP 列表中,如果 ARP 表中已经存在该 IP的信息,则将其覆盖,然后给源主机发送一个 ARP 响应数据包,告诉对方自己是它需要查找的 MAC 地址; ARP 响应数据包后,将得到的目的主机的 IP地址和 MAC 地址添加到自己的 ARP 列表中,并利用此信息开始数据的传输。如果源主机一直没有收到 ARP 响应数据包,表示 ARP 查询失败。 3 4. ARP 地址欺骗的原理 ARP 欺骗分两种,一种是对路由器 ARP 表的欺骗;另一种是对内网 PC的网关欺骗。第一种 ARP 欺骗的原理是-截获网关数据。它通知路由器一系列错误的内网 MAC 地址,并按照一定的频率不断的更新学习进行,使真实的地址信息无法通过更新保存在路由器中,结果路由器的所有数据只能发送错误的 MAC 地址,造成正常的 PC无法收到信息。第二种 ARP 欺骗原理是-通过交换机的 MAC 地址学习机制,伪造网关。它的原理是建立假的网关,让被它欺骗的 PC向假网关发送数据,而不是通过正常的路由器或交换途径寻找网关,造成在同一网关的所有 PC无法访问网络。本实验主要是对内网 PC的网关进行欺骗。如何防止 ARP 欺骗呢? 1、不要把你的网络安全信任关系建立在 ip基础上或 mac 基础上。 2、设置静态的 mac-->ip 对应表,不要让主机刷新你设定好的转换表。 3、除非很有必要,否则停止使用 ARP ,将ARP 做为永久条目保存在对应表中。 4、使用 ARP 服务器