ARP攻击实验报告

目录试验环境： (2)攻击原理： (4)预防方法测试： (6)检测及故障追踪方法： (8)总结： (8)ARP 攻防测试报告试验环境：1、拓扑图：2、拓扑说明：1）router 1为出口路由器，做NA T出局。

2）SW1为局域网交换机，做了端口镜像，把E0/1镜像到端口E0/24对攻击的数据做分析。

3）攻击机：IP 10.0.0.5 MAC: Giga-Byt_15:84:f3 (00:1d:7d:15:84:f3)4）受害机1：IP 10.0.0.4 MAC: Dell_c0:fc:55 (00:21:70:c0:fc:55)5）受害机2：IP 10.0.0.6 MAC：SamsungE_9c:25:d3 (00:13:77:9c:25:d3)6）网关：IP 10.0.0.1 MAC: Hangzhou_4b:bf:4a (00:0f:e2:4b:bf:4a)3、测试用软件：采用了目前常见的局域网攻击软件：网络守护神4.0.0.0，聚生网管2.1 。

经分析此2软件的做法基本雷同，因此文中不做特别的指出均表示此2软件。

4、相关路由交换配置：Router1:#sysname Router1#nat address-group 0 192.168.1.223 192.168.1.224#dhcp server ip-pool 1network 10.0.0.0 mask 255.255.255.0gateway-list 10.0.0.1dns-list 202.102.134.68 61.134.1.4#acl number 2000rule 0 permit source 10.0.0.0 0.0.0.255#interface Ethernet0/0ip address 192.168.1.222 255.255.255.0nat outbound 2000 address-group 0#interface Ethernet0/1ip address 10.0.0.1 255.255.255.0#ip route-static 0.0.0.0 0.0.0.0 192.168.1.1 preference 60SW1:#sysname SW1#acl number 4000rule 0 permit ingress interface Ethernet0/1 egress any rule 1 permit ingress any egress interface Ethernet0/1 #vlan 1#vlan 10#interface Vlan-interface1ip address 10.0.0.2 255.255.255.0#interface Ethernet0/1#interface Ethernet0/2#interface Ethernet0/3#interface Ethernet0/23port access vlan 10#interface Ethernet0/24#ip route-static 0.0.0.0 0.0.0.0 10.0.0.1 preference 60#mirrored-to link-group 4000 rule 0 interface Ethernet0/23mirrored-to link-group 4000 rule 1 interface Ethernet0/23攻击原理：1、攻击原理：ARP欺骗是采用大量的伪造网关的ARP reply报文来淹没真正的网关reply 报文来达到欺骗客户端的目的。

arp欺骗实验报告
ARP欺骗实验报告
在网络安全领域，ARP欺骗是一种常见的攻击手段，它利用ARP协议的漏洞来
欺骗网络设备，使其发送数据包到错误的目的地。

为了更好地了解ARP欺骗的
原理和影响，我们进行了一项实验。

实验步骤如下：
1. 准备工作：我们使用了一台路由器和两台电脑来搭建局域网环境。

其中一台
电脑作为攻击者，另一台电脑作为受害者。

2. ARP欺骗攻击：在攻击者电脑上，我们使用工具来发送伪造的ARP响应包，
将受害者电脑的IP地址映射到攻击者的MAC地址上。

3. 数据传输测试：在进行ARP欺骗攻击后，我们在受害者电脑上发送了一些数
据包，观察其传输情况。

实验结果如下：
1. 数据包丢失：在进行ARP欺骗攻击后，我们发现受害者电脑发送的数据包并
没有到达预期的目的地，而是被发送到了攻击者电脑上。

2. 网络混乱：由于ARP欺骗导致了数据包发送错误，整个局域网环境出现了混乱，部分数据包甚至丢失。

结论：
通过这次实验，我们深刻认识到ARP欺骗对网络的危害。

攻击者可以利用ARP
欺骗来窃取数据、监控通信内容甚至篡改数据，给网络安全带来了严重的威胁。

因此，我们呼吁网络管理员和用户加强对ARP欺骗攻击的防范意识，采取相应
的安全措施来保护网络安全。

同时，我们也希望厂商能够加强对ARP协议的安
全性设计，减少网络攻击的可能性。

首先使用“快照X”恢复Windows/Linux系统环境。

一．ARP欺骗攻击实验需求：（1）本实验使用交换网络结构（参见附录B），组一、二和三间通过交换模块连接（主机A、C、E通过交换模块连接，主机B、D、F也通过交换模块连接）。

因此，正常情况下，主机C无法以嗅探方式监听到主机A与主机E间通信数据，同样主机D也无法监听到主机B与主机F间的通信数据。

（2）主机C要监听主机A和主机E间的通信数据；主机D要监听主机B与主机F间的通信数据。

分析：黑客主机通过对目标主机进行ARP欺骗攻击，获取目标主机间的通信数据。

1．正常通信（1）目标主机二单击工具栏“UDP工具”按钮，启动UDP连接工具，创建2513/udp服务端。

（2）目标主机一启动UDP连接工具，将“目标机器”IP地址指定为目标主机二的地址，目标端口与服务器一致。

在“数据”文本框中输入任意内容，单击“发送”按钮，向服务端发送数据。

服务端确定接收到数据。

（3）黑客主机单击工具栏“控制台”按钮，切换至/opt/ExpNIS/NetAD-Lab/Tools/ids/目录（Snort目录），执行如下命令：通过上述命令snort仅会监听源IP地址为目标主机一的、传输协议类型为UDP的网络数据（4）目标主机一再次向目标主机二发送消息，黑客主机停止snort监听（Ctrl+C），观察snort监听结果，是否监听到目标主机间的通信数据。

为什么？没有监听到结果，目标主机不在同一个共享设备上，正常状态下目标主机一和二间的通信，黑客主机监听不到它们之间的信息。

（5）目标主机一查看ARP缓存表，确定与目标主机二的IP相映射的MAC 地址是否正常。

不正常，缓存表多出一行新的内容。

2．ARP攻击（1）黑客主机单击平台工具栏“控制台”按钮，进入实验目录，运行ARPattack 程序攻击目标主机一，将其ARP缓存表中与目标主机二相映射的MAC地址更改为黑客主机的MAC地址。

其中第一个参数为被攻击主机IP地址，第二个参数为被攻击主机MAC地址，第三个参数为与被攻击主机进行正常通信的主机IP地址。

首先使用“快照X”恢复Windows/Linux系统环境。

一．ARP欺骗攻击实验需求：（1）本实验使用交换网络结构（参见附录B），组一、二和三间通过交换模块连接（主机A、C、E通过交换模块连接，主机B、D、F也通过交换模块连接）。

因此，正常情况下，主机C无法以嗅探方式监听到主机A与主机E间通信数据，同样主机D也无法监听到主机B与主机F间的通信数据。

（2）主机C要监听主机A和主机E间的通信数据；主机D要监听主机B与主机F间的通信数据。

分析：黑客主机通过对目标主机进行ARP欺骗攻击，获取目标主机间的通信数据。

1．正常通信（1）目标主机二单击工具栏“UDP工具”按钮，启动UDP连接工具，创建2513/udp服务端。

（2）目标主机一启动UDP连接工具，将“目标机器”IP地址指定为目标主机二的地址，目标端口与服务器一致。

在“数据”文本框中输入任意内容，单击“发送”按钮，向服务端发送数据。

服务端确定接收到数据。

（3）黑客主机单击工具栏“控制台”按钮，切换至/opt/ExpNIS/NetAD-Lab/Tools/ids/目录（Snort目录），执行如下命令：通过上述命令snort仅会监听源IP地址为目标主机一的、传输协议类型为UDP的网络数据（4）目标主机一再次向目标主机二发送消息，黑客主机停止snort监听（Ctrl+C），观察snort监听结果，是否监听到目标主机间的通信数据。

为什么？没有监听到结果，目标主机不在同一个共享设备上，正常状态下目标主机一和二间的通信，黑客主机监听不到它们之间的信息。

（5）目标主机一查看ARP缓存表，确定与目标主机二的IP相映射的MAC 地址是否正常。

不正常，缓存表多出一行新的内容。

2．ARP攻击（1）黑客主机单击平台工具栏“控制台”按钮，进入实验目录，运行ARPattack 程序攻击目标主机一，将其ARP缓存表中与目标主机二相映射的MAC地址更改为黑客主机的MAC地址。

其中第一个参数为被攻击主机IP地址，第二个参数为被攻击主机MAC地址，第三个参数为与被攻击主机进行正常通信的主机IP地址。

arp攻击实验报告ARP攻击实验报告一、实验目的本实验旨在通过ARP攻击实验，了解ARP攻击的原理和方法，以及如何防范ARP攻击。

二、实验环境1. 虚拟机软件：VMware Workstation2. 操作系统：Kali Linux、Windows 10三、实验过程1. 首先，我们在Kali Linux上使用arpspoof工具进行ARP欺骗攻击，将目标主机（Windows 10）的ARP缓存中的MAC地址修改为攻击者的MAC地址。

2. 然后，我们在Windows 10上使用Wireshark抓包工具进行抓包分析，观察ARP攻击的效果和影响。

3. 最后，我们在Kali Linux上使用arpspoof工具进行ARP防御，将目标主机的ARP缓存中的MAC地址还原为正确的MAC地址。

四、实验结果通过实验我们发现，ARP攻击可以成功地将目标主机的ARP缓存中的MAC地址修改为攻击者的MAC地址，导致目标主机无法正常通信。

而使用arpspoof 工具进行ARP防御可以将目标主机的ARP缓存中的MAC地址还原为正确的MAC地址，恢复正常通信。

五、实验总结ARP攻击是一种常见的网络攻击手段，可以通过欺骗目标主机的ARP缓存来实现攻击。

为了防范ARP攻击，我们可以使用arpspoof工具进行ARP防御，将目标主机的ARP缓存中的MAC地址还原为正确的MAC地址。

同时，网络管理员还应该加强网络安全意识教育，定期检查和清理ARP缓存，以及部署防火墙、入侵检测系统等安全设备，从而有效地防范ARP攻击。

六、参考资料1. 《黑客攻防技术与实战》2. 《网络安全攻防实战指南》通过本次ARP攻击实验，我们对ARP攻击有了更深入的了解，并且掌握了一些防范ARP攻击的方法，希望能够为网络安全提供一些帮助。

ARP攻击的实现和分析首先，我们来看一下ARP攻击的原理。

ARP协议用于将IP地址转换为MAC地址，以便在网络中进行通信。

在正常情况下，当一个设备需要与网络中的另一个设备通信时，它会向网络中广播一个ARP请求，询问目标设备的MAC地址。

目标设备收到此请求后，会向发送设备回复一个ARP应答，其中包含了自己的MAC地址。

发送设备收到ARP应答后，会将目标设备的IP地址与其MAC地址绑定，并将此绑定关系存储在本地的ARP缓存中。

而ARP攻击则是通过伪造ARP请求和应答来欺骗网络设备，使其将通信的目标设备与攻击者的MAC地址绑定。

一旦攻击成功，攻击者就可以中间截取通信数据、劫持通信流量，甚至进行数据篡改和监听等恶意行为。

下面是ARP攻击的实现和分析，包括攻击步骤和攻击效果：1.攻击步骤：(1) 攻击者使用ARP欺骗工具伪造一个ARP请求或应答。

这个欺骗工具常用的有arpspoof、ettercap等。

(2)攻击者向网络中广播ARP请求，询问目标设备的MAC地址。

这个ARP请求的发送IP地址通常为攻击者自己的IP地址。

(3)目标设备收到ARP请求后，会将其ARP缓存中与该IP地址相对应的MAC地址更新为ARP请求中的MAC地址。

(4)攻击者收到目标设备的ARP应答后，将其中的目标设备的IP地址与自己的MAC地址绑定，并将这个欺骗的ARP应答发送给源设备。

(5)源设备接收到欺骗的ARP应答后，将目标设备的IP地址与攻击者的MAC地址绑定。

2.攻击效果：(1)中间人攻击：攻击者成功伪造了ARP请求和应答后，就可以将通信的目标设备与自己的MAC地址绑定。

这样，攻击者就成为了通信的中间人，可以截取通信数据、修改通信内容或进行流量劫持。

(2)数据丢失和泄露：通过ARP攻击，攻击者可以截取通信数据，造成数据丢失和信息泄露的风险。

(3)服务中断：如果攻击者将目标设备的IP地址与不存在的MAC地址绑定，就会导致目标设备无法正常进行网络通信，从而造成服务中断的影响。

《计算机网络安全》实验报告实验名称： arp欺骗提交报告时间：年月日一、实验目的程序实现ARP欺骗，对ARP欺骗进行进一步的认识并提出防范措施。

二、系统环境主机1 windows系统主机2 windows系统主机3 linux操作系统三、网络环境同一网段下的网络四、实验步骤与实验结果将主机A、C、E为一组，B、D、F为一组。

实验角色说明如下：实验主机实验角色主机A、B 目标主机一/Windows主机C、D 黑客主机/Linux主机E、F 目标主机二/Windows首先使用“快照X”恢复Windows/Linux系统环境。

一．ARP欺骗攻击实验需求：（1）本实验使用交换网络结构（参见附录B），组一、二和三间通过交换模块连接（主机A、C、E通过交换模块连接，主机B、D、F也通过交换模块连接）。

因此，正常情况下，主机C无法以嗅探方式监听到主机A与主机E间通信数据，同样主机D也无法监听到主机B与主机F间的通信数据。

（2）主机C要监听主机A和主机E间的通信数据；主机D要监听主机B与主机F间的通信数据。

分析：黑客主机通过对目标主机进行ARP欺骗攻击，获取目标主机间的通信数据。

1．正常通信图6-1-1 目标主机正常通信示意图（1）目标主机二单击工具栏“UDP工具”按钮，启动UDP连接工具，创建2513/udp服务端。

主机1发送数据（2）目标主机一启动UDP连接工具，将“目标机器”IP地址指定为目标主机二的地址，目标端口与服务器一致。

在“数据”文本框中输入任意内容，单击“发送”按钮，向服务端发数据。

服务端确定接收到数据。

主机2接收到数据（3）黑客主机单击工具栏“控制台”按钮，切换至/opt/ExpNIC/NetAD-Lab/Tools/ids 目录（Snort目录），命令如下：主机3通过上述命令snort仅会监听源IP地址为目标主机一的、传输协议类型为UDP的网络数据（详细的snort使用命令见实验10｜练习一）。

实验I ARP攻击的攻、判、防ARP攻击不是病毒—因而几乎所有的杀毒软件对之都无可奈何；但它却胜似病毒—因为它轻可造成通信变慢、网络瘫痪，重会造成信息的泄密。

多年来，ARP攻击一直存在，却没有一个好的解决办法。

很多网络用户深受其害，网管人员更是无从下手、苦不堪言。

本实验从分析ARP协议和欺骗原理入手，介绍如何实施ARP攻击，如何判断正在遭受ARP攻击，如何防范和解决ARP攻击。

1．ARP协议及欺骗原理（1）以太网的工作原理。

以太网中，数据包被发送出去之前，首先要进行拆分（把大的包进行分组）、封装（在Network层添加源IP地址和目标的IP地址，在Data Link层添加源MAC地址和下一跳的MAC地址），变成二进制的比特流，整个过程如图I-1所示。

数据包到达目标后再执行与发送方相反的过程，把二进制的比特流转变成帧，解封装（Data Link 层首先比较目标的MAC是否与本机网卡的MAC相同或者是广播MAC，如相同则去除帧头，再把数据包传给Network层，否则丢弃；Network层比较目的地IP地址是否与本机相同，相同则继续处理，否则丢弃）。

如果发送方和接收方位于同一个网络内，则下一跳的MAC就是目标的MAC，如发送方和接收方不在同一个网络内，则下一跳的MAC就是网关的MAC。

从这个过程不难发现，以太网中数据的传速仅知道目标的IP地址是不够的，还需要知道下一跳的MAC地址，这需要借助于另外一下协议，ARP（地址解析协议）。

2）ARP的工作原理。

计算机发送封装数据之前，对比目标IP地址，判断源和目标在不在同一个网段，如在同一网段，则封装目标的MAC；如不在同一网段，则封装网关的MAC。

封装之前，查看本机的ARP缓存，看有没有下一跳对应的IP和MAC映射条目，如有则直接封装；如没有则发送ARP查询包。

ARP查询和应答包的格式如图I-2所示，查询包中“以太网目的地址”为0xffffffffffff广播地址，“以太网源地址”为本机网卡的MAC地址，“帧类型”为0x0806表示ARP应答或请求，“硬件类型”为0x0001表示以太网地址，“协议类型”为0x0800表示IP地址，“OP”为ARP的请求或应答，ARP请求包的OP值为1，ARP 应答包的OP值为2，“发送端以太网地址”为发送者的MAC地址，“发送端IP”为发送者的IP地址，“目的以太网地址”这里为0x000000000000，“目的IP”为查询MAC地址的IP。

ARP包解析与ARP欺骗攻击得分：u_char ar_hln; //硬件地址长度u_char ar_pln; //协议地址长度u_short ar_op; //操作u_char arp_smac[6]; //发送端以太网地址u_char arp_sip[4]; //发送端IPu_char arp_dmac[6]; //目的端以太网地址u_char arp_dip[4]; //目的IP}ether_arp;pcap_t *adhandle;void open_dev();void arp_init(ether_header* e_head,ether_arp* e_arp);void mk_arp_packt(u_char packet[],ether_header* e_head,ether_arp* e_arp);u_short byte_swap(u_short i);void main(){ether_arp* e_arp=(ether_arp*)malloc(sizeof(ether_arp));ether_header* e_head=(ether_header*)malloc(sizeof(ether_header));u_char packet[100];open_dev();//先打开网卡arp_init(e_head,e_arp);//输入目的主机的相关信息mk_arp_packt(packet,e_head,e_arp);//伪造Arp数据包while(true){if (pcap_sendpacket(adhandle, packet,42)!= 0)//发送数据{fprintf(stderr,"\nError sending the packet: \n", pcap_geterr(adhandle));return;}elseprintf("Send Data Successfully\n");}}void open_dev(){pcap_if_t *alldevs;pcap_if_t *d;int index;int i=0;char errbuf[PCAP_ERRBUF_SIZE];if(pcap_findalldevs_ex(PCAP_SRC_IF_STRING,NULL,&alldevs,errbuf)==-1){fprintf(stderr,"Error in pcap_findalldevs_ex:%s\n",errbuf);exit(1);}for(d=alldevs;d!=NULL;d=d->next){printf("%d:\n%s",i++,d->name);if(d->description)printf("%s\n",d->description);elseprintf("No Description available");}if(i==0){printf("\nNo interfaces found!Make sure WinpCap is installed.\n");return;}printf("\n\nIf You Want Choose a Device To Capture The Data Please Input The Number Before The Device\n");scanf("%d",&index);char ch;ch=getchar();if(index>i||index<0){printf("You Choosed An Error Num");exit(1);}for(d=alldevs,i=0;i<index;d=d->next,i++);printf("You Choosed The Device It's Name Is:%s",d->name);//打开适配器为检测做好准备if((adhandle=pcap_open(d->name,65536,PCAP_OPENFLAG_PROMISCUOUS,1000,NULL,errbuf))==NULL){fprintf(stderr,"\nUnable to Open the adapter.%s is Not support by WinPcap\n",d->name);pcap_freealldevs(alldevs);return;}printf("\nDevice Open Successful");}void arp_init(ether_header* e_head,ether_arp* e_arp){int input;u_char ch;printf("Please Input Your Mac:");for (int i=0;i<6;i++){scanf("%x",&input);e_head->eh_src[i]=input;}ch=getchar();printf("Please Input Your IPAddress:");for (int i=0;i<4;i++){scanf("%d",&input);e_arp->arp_sip[i]=input;}printf("Please Input The Disitination Mac:");ch=getchar();for (int i=0;i<6;i++){scanf("%x",&input);e_head->eh_dst[i]=input;}printf("Please Input Disitination IPAddress:");for (int i=0;i<4;i++){scanf("%d",&input);e_arp->arp_dip[i]=input;}printf("Information Collected Over");}void mk_arp_packt(u_char packet[],ether_header* e_head,ether_arp* e_arp) {e_arp->ar_hln=0x06;e_arp->ar_hrd=byte_swap(1);e_arp->ar_pro=byte_swap(ETHERTYPE_IP);e_arp->ar_pln=0x04;e_arp->ar_op=byte_swap(ARPOP_REPLY);e_head->eh_type=byte_swap(ETHERTYPE_ARP);memcpy(e_arp->arp_smac,e_head->eh_src,6);memcpy(e_arp->arp_dmac,e_head->eh_dst,6);memcpy(packet,e_head,14);memcpy(packet+14,e_arp,28);}u_short byte_swap(u_short swap){u_short swaped;u_short low;u_short hight;。

实验4-2 ARP攻击实验一、实验目的1、了解基本的网络攻击原理和攻击的主要步骤；2、了解ARP攻击的主要原理和过程；二、实验设备及环境三台装有Windows2000/XP电脑操作系统的计算机，并且这三台要在同一个局域网内，WinArpAttackerV3.5，聚生网管软件，sniffer或Wireshark。

三、实验内容及步骤（截图并对图示进行必要的文字说明）1、打开两台计算机，记录下其IP地址，例如分别为"192.168.1.16"和"192.168.1.17"。

2、在1.16计算机上ping 1.17。

（注：此处IP为192.168.1.17的缩写，实际运行时需要输入完整的IP，后同）3、在1.16计算机上查看arp缓存，验证缓存的1.17MAC地址是否正确?4、在1.16计算机上为1.17添加一条静态的MAC地址记录，然后再在1.16计算机上ping 1.17，验证能否ping通?5、在1.16计算机上，清除所有缓存，然后再在1.16计算机上ping 1.17，验证能否ping 通?6、在1.16计算机上，安装"Arp攻击器v3.5"(1)运行"WinPcap_3_1.exe"。

(2)运行"WinArpAttacker.exe"，屏幕右下角出现一个小图标，双击该图标。

7、在1.16计算机上，为"Arp攻击器"指定网卡。

Arp攻击器->Options菜单->Adapter菜单->Adapter选项->选择物理网卡8、在1.16计算机上，扫描出本网段所有主机。

Arp攻击器->Scan->Advanced->Scan a range->设置为1.0-1.2549、在1.16计算机上，勾中需要攻击的计算机1.17，利用"Attack->Flood"进行不间断的IP冲突攻击。

实验三ARP欺骗工具及原理分析ARP欺骗（Address Resolution Protocol Spoofing）又被称为ARP 攻击，是一种网络安全攻击手段。

ARP是一种用于将IP地址解析为物理MAC地址的协议，用于在局域网中确定数据包的目的地。

ARP欺骗就是欺骗目标主机将数据包发送给攻击者，从而实现中间人攻击或者网络监听。

ARP欺骗工具是一种利用ARP协议漏洞实施攻击的工具，可在局域网环境中进行ARP欺骗攻击。

其工作原理为攻击者伪装成局域网中的其他主机或者网关，在目标主机和网关之间进行中间人攻击，截取目标主机和网关之间的通信数据并进行监听或篡改。

常见的ARP欺骗工具有Ettercap、Cain和Abel、Dsniff等。

这些工具通常具有以下功能：1.欺骗目标主机：工具伪装成目标主机或者网关，向局域网中的其他主机发送ARP欺骗包，将通信数据导向攻击者，实现中间人攻击。

2.监听和分析网络数据：工具可以截获目标主机和网关之间的通信数据，并对数据进行监听和分析。

攻击者可以获取受害者的账号、密码、通信内容等敏感信息。

3.数据篡改和注入：攻击者可以修改截获的数据包内容，实现对通信数据的篡改或者注入恶意代码。

ARP欺骗工具的原理分析如下：1.目标主机和网关之间的ARP协议交换：当目标主机（例如A）需要和网关（例如B）进行通信时，需要将目标主机的IP地址解析为物理MAC地址。

目标主机会发送一个ARP请求，广播到局域网中的所有主机，询问拥有指定IP地址的主机的MAC地址。

网关收到这个请求后会回复一个ARP应答，将自己的MAC地址发送给目标主机。

2.攻击者的ARP欺骗：ARP欺骗工具会在局域网中伪造ARP应答包，将攻击者的MAC地址伪装成网关的MAC地址。

这样当目标主机发送数据包时，就会将数据包发送给攻击者的MAC地址，而不是真正的网关。

攻击者可以选择将这个数据包转发给真正的网关，保持网络通信的正常；同时也可以截获这个数据包，进行监听，篡改或者注入恶意代码。

ARP攻击的实现和分析ARP（Address Resolution Protocol）攻击是一种通过伪造网络中的ARP数据包来欺骗目标主机的攻击手段。

它可以用于进行网络欺骗、劫持、中间人攻击等恶意行为。

本文将详细介绍ARP攻击的实现和分析。

实现ARP攻击的基本步骤如下：1. 扫描目标网络：攻击者需要先扫描目标网络，获取目标IP地址和MAC地址的映射关系。

可以使用一些扫描工具如nmap、arp-scan等来完成这一步骤。

2.发送伪造的ARP请求：攻击者向目标主机发送伪造的ARP请求，请求的目标IP地址是攻击者想要劫持的IP地址，源MAC地址则是攻击者自己的MAC地址。

这样，目标主机会误认为攻击者的MAC地址是与目标IP地址对应的正常MAC地址。

3.伪造的ARP响应：当目标主机收到攻击者发送的ARP请求后，它会向请求的源IP地址发送ARP响应，包含它自己的MAC地址。

攻击者则会截获这个响应，并修改其内容，将响应的源MAC地址改成攻击者的MAC地址。

4.更新ARP缓存：目标主机在接收到伪造的ARP响应后，会将这个伪造的MAC地址和目标IP地址的映射关系写入它的ARP缓存表。

从此以后，目标主机会将所有发送给该IP地址的数据包都转发到攻击者的MAC地址上。

5.进行中间人攻击：攻击者成功劫持目标主机和其他主机之间的通信后，可以对数据包进行拦截、篡改、注入等操作，实现中间人攻击的目的。

分析ARP攻击的特点如下：1.伪装性强：ARP攻击利用ARP协议的特性，伪造网络中的ARP请求和响应，使得攻击者能够欺骗目标主机，成功获取对方的网络通信权。

2.易于实施：ARP攻击无需利用复杂的漏洞，只需要发送伪造的ARP报文即可，因此实施起来相对容易。

而且，现代操作系统默认是信任本地网络的，容易受到ARP攻击。

3.无需身份认证：ARP协议本身不包含任何身份验证机制，因此攻击者可以轻松地发送伪造的ARP请求和响应，而不需要进行任何身份验证。

实验三：ARP欺骗⼯具及原理分析实验三：ARP 欺骗⼯具及原理分析⼀、实验⽬的1. 熟悉ARP 欺骗攻击⼯具的使⽤2. 熟悉ARP 欺骗防范⼯具的使⽤3. 熟悉ARP 欺骗攻击的原理⼆、实验准备1. 要求实验室内⽹络是连通的，组内每台计算机均可以访问另外⼀台计算机。

2. 下载相关⼯具和软件包(ARP 攻击检测⼯具，局域⽹终结者，⽹络执法官，ARPsniffer 嗅探⼯具)。

三、实验说明本实验所介绍的⼯具软件使⽤起来都⽐较⽅便，操作起来也不是很难，但是功能或指令却不⽌⼀种，所以实验中只介绍其中的某⼀种⽤法。

其他的则可"触类旁通" 。

四、实验涉及到的相关软件下载：ARP 攻击检测⼯具局域⽹终结者⽹络执法官ARPsniffer 嗅探⼯具五、实验原理1、ARP 及ARP 欺骗原理：ARP( Address Resolution Protocol )即地址解析协议，是⼀种将IP 地址转化成物理地址的协议。

不管⽹络层使⽤什么协议，在⽹络链路上传送数据帧时，最终还是必须使⽤硬件地址的。

⽽每台机器的MAC 地址都是不⼀样的，具有全球唯⼀性，因此可以作为⼀台主机或⽹络设备的标识。

⽬标主机的MAC 地址就是通过ARP 协议获得的。

ARP 欺骗原理则是通过发送欺骗性的ARP 数据包致使接收者收到数据包后更新其ARP缓存表，从⽽建⽴错误的IP 与MAC 对应关系，源主机发送数据时数据便不能被正确地址接收。

2、ARPsniffer 使⽤原理：在使⽤该⼯具时，它会将⽹络接⼝设置为混杂模式，该模式下⼯具可以监听到⽹络中传输的所有数据帧，⽽不管数据帧的⽬的地是⾃⼰还是其他⽹络接⼝的地址。

嗅探器会对探测到的每⼀个数据帧产⽣硬件数据中断，交由操作系统处理，这样就实现了数据截获。

3、局域⽹终结者使⽤原理：⼀个主机接收到与⾃已相同IP 发出的ARP 请求就会弹出⼀个IP 冲突框来。

利⽤局域⽹终结者可以伪造任⼀台主机的IP 向局域⽹不停地发送ARP 请求，同时⾃已的MAC 也是伪造的，那么被伪造IP 的主机便会不停地收到IP 冲突提⽰，致使该主机⽆法上⽹。

ARP攻击与防御（动态ARP检测）【实验名称】ARP攻击与防御（动态ARP检测）【实验目的】使用交换机的DAI（动态ARP检测）功能增强网络安全性【背景描述】某企业的网络管理员发现最近经常有员工抱怨无法访问互联网，经过故障排查后，发现客户端PC上缓存的网关的ARP绑定条目是错误的，从此现象可以判断出网络中可能出现了ARP欺骗攻击，导致客户端PC不能获取正确的ARP条目，以至不能够访问外部网络。

如果通过交换机的ARP检查功能解决此问题，需要在每个接入端口上配置地址绑定，工作量过大，因此考虑采用DAI功能解决ARP欺骗攻击的问题。

【需求分析】ARP欺骗攻击是目前内部网络中出现最频繁的一种攻击。

对于这种攻击，需要检查网络中ARP报文的合法性。

交换机的DAI功能可以满足这个要求，防止ARP欺骗攻击。

【实验拓扑】【实验设备】二层交换机1台（支持DHCP监听与DAI）三层交换机1台（支持DHCP监听与DAI）PC机3台（其中1台需安装DHCP服务器，另1台安装ARP欺骗攻击工具WinArpSpoofer（测试用））【预备知识】交换机转发原理交换机基本配置DHCP监听原理DAI原理ARP欺骗原理【实验原理】交换机的DAI功能可以检查端口收到的ARP报文的合法性，并可以丢弃非法的ARP 报文，防止ARP欺骗攻击。

【实验步骤】第一步：配置DHCP服务器将一台PC配置为DHCP服务器，可以使用Windows Server配置DHCP服务器，或者使用第三方DHCP服务器软件。

DHCP服务器中的地址池为172.16.1.0/24。

第二步：SW2基本配置及DHCP监听配置（接入层）Switch#configureSwitch(config)#hostname SW2SW2(config)#vlan 2SW2(config-vlan)#exitSW2(config)#interface range fastEthernet 0/1-2SW2(config-if-range)#switchport access vlan 2SW2(config-if-range)#exitSW2(config)#interface fastEthernet 0/24SW2(config-if)#switchport mode trunkSW2(config-if)#exitSW2(config)#ip dhcp snoopingSW2(config)#interface fastEthernet 0/24SW2(config-if)#ip dhcp snooping trustSW2(config-if)#endSW2#第三步：SW1基本配置、DHCP监听配置及DHCP Relay配置（分布层）S witch#configureSwitch(config)#hostname SW1SW1(config)#interface fastEthernet 0/24SW1(config-if)#switchport mode trunkSW1(config-if)#exitSW1(config)#vlan 2SW1(config-vlan)#exitSW1(config)#interface vlan 2SW1(config-if)#ip address 172.16.1.1 255.255.255.0SW1(config-if)#exitSW1(config)#vlan 100SW1(config-vlan)#exitSW1(config)#interface vlan 100SW1(config-if)#ip address 10.1.1.2 255.255.255.0SW1(config-if)#exitSW1(config)#interface fastEthernet 0/1SW1(config-if)#switchport access vlan 100SW1(config-if)#exitSW1(config)#ip dhcp snooping！启用DHCP snooping功能SW1(config)#interface fastEthernet 0/1SW1(config-if)#ip dhcp snooping trust！配置F0/1端口为trust端口SW1(config-if)#exitSW1(config)#interface fastEthernet 0/24SW1(config-if)#ip dhcp snooping trust！配置F0/24端口为trust端口SW1(config-if)#exitSW1(config)#service dhcpSW1(config)#ip helper-address 10.1.1.1！配置DHCP中继，指明DHCP服务器地址SW1(config)#endSW1#第四步：验证测试确保DHCP服务器可以正常工作。

DHCP snooping && DAI Implement Report 1.网络拓扑2.实施DHCP cnooping && DAI之前2.1. 用Ettercap对Victim实施ARP攻击2.1.1.因为攻击机没有开启数据转发功能，所以被攻击终端网络出现断流；2.1.2.通过用Arp –a 查看被攻击终端的ARP表，发现网关的Mac-Address被修改；2.2. 用Ettercap实现网段的主机扫描3.实施DHCP cnooping && DAI3.1. 配置文件Switch#sho runBuilding configuration...Current configuration : 2823 bytes!! Last configuration change at 17:23:48 GMT Mon Mar 10 2008!version 12.2no service padservice timestamps debug uptimeservice timestamps log uptimeservice password-encryption!hostname Switch!!no aaa new-modelclock timezone GMT -8switch 1 provision ws-c3750g-24tsystem mtu routing 1500ip subnet-zeroip routingno ip domain-lookup!vlan2 对Vlan 2做映射表snoopingipdhcpip dhcp snooping database ftp://qy:123456@10.3.1.139/qy 映射文件存放地ip dhcp snooping 打开Snooping2 监控Vlan 2vlaniparpinspectionip arp inspection log-buffer entries 1024ip arp inspection log-buffer logs 1024 interval 10!!!!!no file verify autospanning-tree mode pvstspanning-tree extend system-id!vlan internal allocation policy ascending!!interface GigabitEthernet1/0/1switchport trunk encapsulation dot1qswitchport mode trunkip dhcp snooping trust 在可信任端口上打(默认为非可信任)!interface GigabitEthernet1/0/2ip dhcp snooping trust!interface GigabitEthernet1/0/3 ip dhcp snooping trust!interface GigabitEthernet1/0/4 ip dhcp snooping trust!interface GigabitEthernet1/0/5 ip dhcp snooping trust!interface GigabitEthernet1/0/6 ip dhcp snooping trust!interface GigabitEthernet1/0/7 ip dhcp snooping trust!interface GigabitEthernet1/0/8 ip dhcp snooping trust!interface GigabitEthernet1/0/9 ip dhcp snooping trust!interface GigabitEthernet1/0/10 ip dhcp snooping trust!interface GigabitEthernet1/0/11 ip dhcp snooping trust!interface GigabitEthernet1/0/12 switchport access vlan 2 switchport mode access!interface GigabitEthernet1/0/13 switchport access vlan 2 switchport mode access!interface GigabitEthernet1/0/14 switchport access vlan 2 switchport mode access!interface GigabitEthernet1/0/15 switchport access vlan 2 switchport mode access!interface GigabitEthernet1/0/16switchport access vlan 2 switchport mode access!interface GigabitEthernet1/0/17 switchport access vlan 2 switchport mode access!interface GigabitEthernet1/0/18 switchport access vlan 2 switchport mode access!interface GigabitEthernet1/0/19 switchport access vlan 2 switchport mode access!interface GigabitEthernet1/0/20 switchport access vlan 2 switchport mode access!interface GigabitEthernet1/0/21 switchport access vlan 2 switchport mode access!interface GigabitEthernet1/0/22 switchport access vlan 2 switchport mode access!interface GigabitEthernet1/0/23 switchport access vlan 2 switchport mode access!interface GigabitEthernet1/0/24 switchport access vlan 2 switchport mode access!interface Vlan1ip address 10.3.0.252 255.255.0.0!interface Vlan2ip address 192.168.1.1 255.255.255.0 ip helper-address 10.3.139.139!ip classlessip http serverip http secure-server!!!control-plane!!line con 0exec-timeout 0 0line vty 0 4loginline vty 5 15login!ntp clock-period 36030203 ntp server 10.3.0.254end3.2. 映射表格式3.3. 用Ettercap对Victim实放ARP攻击Victim客户机并没有受到影响交换机上的LOG报错，攻击机所在的端口有无效的ARP包。