ARP欺骗及网络执法官

《ARP欺骗及网络执法官》由会员上传分享，免费在线阅读，更多相关内容在教育资源-天天文库。

1、实验报告实验名称ARP欺骗及网络执法官实验目的（1）掌握ARP欺骗的基本原理（2）了解流行的ARP欺骗工具网络执法官的使用方法及危害（3）能够进行基本ARP欺骗防范使用仪器实验环境硬件设备：PC、实验室小组局域网环境、路由器取消IP/MAC绑定防欺骗功能软件环境：Windows2000、WinXP、TCP/IP、网络执法官实验内容（1）了解交换网络嗅探技术及相关知识（2）学习ARP的基本原理（3）掌握网络执法官的使用方法实验步骤：第一步：在中了ARP病毒的机子上使用“ping”命令发现不能ping通，

2、在dos下键入命令“arp-d”清除所有arp，再键入静态绑定命令，绑定正确MAC地址，绑定好后，再键入“ping”命令，发现可以ping通。结果如下图所示：第二步：安装网络执法官并使用网络执法官6第三步：对局域网中的一台主机进行ARP攻击在受到ARP攻击之前该主机可以“ping”通第四步：检查受到攻击的主机的上网情况6在DOS下使用“ping”命令不能ping通6实验结果及理论分析：ARP欺骗分析:在OSI模型中，针对网络第二层的攻击可以使网络瘫痪或者通过非法获取密码等敏感信息来危及网络用户的安全。

3、由于任何一位合法用户都能获取一个以太网端口的访问权限，而这些用户都有可能成为黑客；同时，由于设计OSI模型时，允许不同通信层处于相对独立的工作模式，而承载所有客户关键应用的网络第二层，成为了被攻击的目标。ARP欺骗攻击是针对网络第二层攻击中的一种。ARP用来实现MAC地址和IP地址的绑定，两个工作站才可以通讯，通讯发起方的工作站以MAC广播方式发送ARP请求，拥有此IP地址的工作站给予ARP应答，送回自己的IP和MAC地址。由于ARP无任何身份真实校验机制，黑客程序发送误导的主动式ARP使网络流量重指

4、经过恶意攻击者的计算机，变成某个局域网段IP会话的中间人，达到窃取甚至篡改正常传输的功效。简单来讲，ARP欺骗的目的是为了实现全交换环境下的数据监听。大部分的木马或病毒使用ARP欺骗攻击也出于此目的。一旦怀疑有ARP攻击,我们就可以使用抓包工具来抓包，如果发现网络内存在大量ARP应答包，并且将所有的IP地址都指向同一个MAC地址，就说明存在ARP欺骗攻击。该MAC地址就是用来进行ARP欺骗攻击的主机MAC地址，我们可以查出它对应的真实IP地址，从而采取相应的控制措施。另外，我们也可以到路由器或者网关交

5、换机上查看IP地址与MAC地址的对应表。如果发现某一个MAC地址对应了大量的IP地址，就说明存在ARP欺骗攻击，同时可通过这个MAC地址查出用来ARP欺骗攻击的主机在交换机上所对应的物理端口，进行控制。防范ARP欺骗的措施：1.静态ARP绑定网关（1）在能正常上网时，进入MS-DOS窗口，输入命令：arp－a，查看网关的IP对应的正确MAC地址，并将其记录下来。（2）手工绑定，可在MS-DOS窗口下运行以下命令：6arp－s网关IP网关MAC192.168.1.100-01-02-03-04-05st

6、atic这时，类型变为静态（static），就不会再受攻击影响了。2.作批处理文件（1）查找本网段的网关地址，比如192．168．1．1，在正常上网时，“开始→运行→cmd→确定”，输入：arp－a，点回车，查看网关对应的PhysicalAddress。比如：网关192.168.1.1对应00－01－02－03－04－05。（2）编写一个批处理文件rarp.bat，内容如下：@echooffarp－darp-s192.168.1.100－01－02－03－04－05保存为：rarp.bat。（3）运行

7、批处理文件将这个批处理文件拖到“Windows→开始→程序→启动”中，如果需要立即生效，请运行此文件。注意：以上配置需要在网络正常时进行3.使用安全工具软件下载AntiARPSniffer软件保护本地计算机正常运行。如果已有病毒计算机的MAC地址，可使用NBTSCAN等软件找出网段内与该MAC地址对应的IP，即感染病毒的计算机的IP地址，然后对其进行查封。另外还可以利用木马杀客等安全工具进行查杀。完成实验时间：2010年11月5日66