arp欺骗及网络执法官.doc
6页
1实验报告实验报告实验名称实验名称ARP 欺骗及网络执法官实验目的实验目的(1)掌握 ARP 欺骗的基本原理 (2)了解流行的 ARP 欺骗工具网络执法官的使用方法及危害 (3)能够进行基本 ARP 欺骗防范 使用仪器使用仪器 实验环境实验环境硬件设备:PC、实验室小组局域网环境、路由器取消 IP/MAC 绑定防欺 骗功能 软件环境:Windows 2000、WinXP、TCP/IP、网络执法官实验内容实验内容(1)了解交换网络嗅探技术及相关知识 (2)学习 ARP 的基本原理 (3)掌握网络执法官的使用方法 实验步骤:实验步骤:第一步第一步::在中了 ARP 病毒的机子上使用“ping”命令发现不能 ping 通,在 dos 下键入命令“arp -d”清除所有 arp,再键入静态绑 定命令,绑定正确 MAC 地址,绑定好后,再键入“ping”命令,发现可以 ping 通结果如下图所示:第二步第二步::安装网络执法官并使用网络执法官2第三步第三步:对局域网中的一台主机进行 ARP 攻击在受到 ARP 攻击之前该主机可以“ping”通第四步第四步:检查受到攻击的主机的上网情况3在 DOS 下使用“ping”命令不能 ping 通4实验结果及理论分析:实验结果及理论分析:ARP 欺骗分析欺骗分析: 在 OSI 模型中,针对网络第二层的攻击可以使网络瘫痪或者通过非法获取密码等敏感信息来危及网络用户的安全。
由于任何一位合法用户都能获取一个以太网端口的访问权限,而这些用户都有可能成为黑客;同时,由于设计 OSI模型时,允许不同通信层处于相对独立的工作模式,而承载所有客户关键应用的网络第二层,成为了被攻击的目标ARP 欺骗攻击是针对网络第二层攻击中的一种ARP 用来实现 MAC 地址和 IP 地址的绑定,两个工作站才可以通讯,通讯发起方的工作站以 MAC 广播方式发送 ARP 请求,拥有此 IP 地址的工作站给予 ARP 应答,送回自己的 IP和 MAC 地址由于 ARP 无任何身份真实校验机制,黑客程序发送误导的主动式 ARP 使网络流量重指经过恶意攻击者的计算机,变成某个局域网段 IP 会话的中间人,达到窃取甚至篡改正常传输的功效简单来讲,ARP 欺骗的目的是为了实现全交换环境下的数据监听大部分的木马或病毒使用 ARP 欺骗攻击也出于此目的一旦怀疑有 ARP 攻击,我们就可以使用抓包工具来抓包,如果发现网络内存在大量 ARP 应答包,并且将所有的 IP 地址都指向同一个 MAC 地址,就说明存在 ARP 欺骗攻击该 MAC 地址就是用来进行 ARP 欺骗攻击的主机 MAC地址,我们可以查出它对应的真实 IP 地址,从而采取相应的控制措施。
另外,我们也可以到路由器或者网关交换机上查看 IP 地址与 MAC 地址的对应表如果发现某一个 MAC 地址对应了大量的 IP 地址,就说明存在 ARP 欺骗攻击,同时可通过这个 MAC 地址查出用来 ARP 欺骗攻击的主机在交换机上所对应的物理端口,进行控制防范防范 ARP 欺骗的措施:欺骗的措施:1.静态 ARP 绑定网关(1)在能正常上网时,进入 MS-DOS 窗口,输入命令:arp -a,查看网关的 IP 对应的正确 MAC 地址, 并将其记录下来5(2)手工绑定,可在 MS-DOS 窗口下运行以下命令:arp -s 网关 IP 网关 MAC192.168.1.1 00-01-02-03-04-05 static这时,类型变为静态(static) ,就不会再受攻击影响了2.作批处理文件(1)查找本网段的网关地址,比如 192.168.1.1,在正常上网时, “开始→运行→cmd→确定” ,输入:arp -a,点回车,查看网关对应的 Physical Address比如:网关 192.168.1.1 对应 00-01-02-03-04-052)编写一个批处理文件 rarp.bat,内容如下:@echo offarp -darp -s 192.168.1.1 00-01-02-03-04-05保存为:rarp.bat。
3)运行批处理文件将这个批处理文件拖到“Windows→开始→程序→启动”中,如果需要立即生效,请运行此文件注意:以上配置需要在网络正常时进行3.使用安全工具软件下载 Anti ARP Sniffer 软件保护本地计算机正常运行如果已有病毒计算机的 MAC 地址,可使用 NBTSCAN 等软件找出网段内与该 MAC 地址对应的IP,即感染病毒的计算机的 IP 地址,然后对其进行查封另外还可以利用木马杀客等安全工具进行查杀6完成实验时间:2010 年 11 月 5 日 。
