ARP攻击实验报告
合集下载
相关主题
- 1、下载文档前请自行甄别文档内容的完整性,平台不提供额外的编辑、内容补充、找答案等附加服务。
- 2、"仅部分预览"的文档,不可在线预览部分如存在完整性等问题,可反馈申请退款(可完整预览的文档不适用该条件!)。
- 3、如文档侵犯您的权益,请联系客服反馈,我们会尽快为您处理(人工客服工作时间:9:00-18:30)。
网络入侵
学号:0867010077
姓名:***
一.实验目的:
1、了解基本的网络攻击原理和攻击的主要步骤;
2、掌握网络攻击的一般思路;
3、了解ARP攻击的主要原理和过程;
二.实验原理:
ARP攻击就是通过伪造IP地址和MAC地址实现ARP欺骗,能够在网络中产生大量的ARP通信量使网络阻塞,攻击者只要持续不断的发出伪造的ARP响应包就能更改目标主机ARP缓存中的IP-MAC条目,造成网络中断或中间人攻击。
图1-6
选中Disable Loopbacl选项,点击确定。如图1-7显示我们发送成功了一个数据包。
图1-7
6.接下来你可以在被攻击的主机上ping一下,看是否能够ping的通,或看下是否能够打开网页。ping是ping不通的,
效果如图1-8:
图1-8
如果你想防止你的主机被实施这样的攻击,你可以使用ARP命令进行物理地址和ip地址的静态绑定,不要让主机刷新你设定好的转换表。命令格式如图1-9:
ARP攻击主要是存在于局域网网络中,局域网中若有一台计算机感染ARP木马,则感染该ARP木马的系统将会试图通过“ARP欺骗”手段截获所在网络内其它计算机的通信信息,并因此造成网内其它计算机的通信故障。
某机器A要向主机B发送报文,会查询本地的ARP缓存表,找到B的IP地址对应的MAC地址后,就会进行数据传输。如果未找到,则A广播一个ARP请求报文(携带主机A的IP地址Ia——物理地址Pa),请求IP地址为Ib的主机B回答物理地址Pb。网上所有主机包括B都收到ARP请求,但只有主机B识别自己的IP地址,于是向A主机发回一个ARP响应报文。其中就包含有B的MAC地址,A接收到B的应答后,就会更新本地的ARP缓存。接着使用这个MAC地址发送数据(由网卡附加MAC地址)。因此,本地高速缓存的这个ARP表是本地网络流通的基础,而且这个缓存是动态的。
4.使用""proxy""代理IP的传输。
5.使用硬件屏蔽主机。设置好你的路由,确保IP地址能到达合法的路径。(静态配置路由ARP条目),注意,使用交换集线器和网桥无法阻止ARP欺骗。
6.管理员定期用响应的IP包中获得一个rarp请求,然后检查ARP响应的真实性。
7.管理员定期轮询,检查主机上的ARP缓存。
2对编辑过滤器进行设置(Edit filter settings),设置成包含ARP
如图1-2;
图1-2
3.点击IRIS的运行按钮(那个绿色的按钮),或捕获(Capture)按钮。
如图1-2:
图1-3
开始捕获数据包
4.捕获到的数据如图所示,选择一个你要攻击的主机,我们这里选择的是Ip为10.3.3.19的主机,选择的协议一定要是ARP的数据包。
如图1-4:
图1-4
5.点击Packet decoder(封包解码器)界面中的Target‘s IP Address:10.3.3.1选项,它会定位到封包解码器的编辑处,如图1-5,改变数字,我将数据包中的0A 03 03 01改成了0A 03 03 02。这里没把图截下来。
图1-5
然后点击图1-5中椭圆圈中的按钮,然后出现图1-6的界面。
8.使用防火墙连续监控网络。注意有使用SNMP的情况下,ARP的欺骗有可能导致陷阱包丢失。
图1-9
还有其他防止ARP攻击的解决方案。
1.不要把你的网络安全信任关系建立在IP基础上或MAC基础上,(rarp同样存在欺骗的问题),理想的关系应该建立在IP+MAC基础上。
2.除非很有必要,否则停止使用ARP,将ARP做为永久条目保存在对应表中。
3.使用ARP服务器。通过该服务器查找自己的ARP转换表来响应其他机器的ARP广播。确保这台ARP服务器不被黑。
本实验的主要目的是在局域网内,实施ARP攻击,使局域网的网关失去作用,导致局域网内部主机无法与外网通信。
三.实验环境:windows XP操作系统,Iris抓包软件
四.实验ቤተ መጻሕፍቲ ባይዱ骤:
1,安装Iris,第一次运行Iris后会出现一个要你对适配器的选择的
界面,点击适配器类型,点击确定就可以了:
如图1-1;
图1-1
学号:0867010077
姓名:***
一.实验目的:
1、了解基本的网络攻击原理和攻击的主要步骤;
2、掌握网络攻击的一般思路;
3、了解ARP攻击的主要原理和过程;
二.实验原理:
ARP攻击就是通过伪造IP地址和MAC地址实现ARP欺骗,能够在网络中产生大量的ARP通信量使网络阻塞,攻击者只要持续不断的发出伪造的ARP响应包就能更改目标主机ARP缓存中的IP-MAC条目,造成网络中断或中间人攻击。
图1-6
选中Disable Loopbacl选项,点击确定。如图1-7显示我们发送成功了一个数据包。
图1-7
6.接下来你可以在被攻击的主机上ping一下,看是否能够ping的通,或看下是否能够打开网页。ping是ping不通的,
效果如图1-8:
图1-8
如果你想防止你的主机被实施这样的攻击,你可以使用ARP命令进行物理地址和ip地址的静态绑定,不要让主机刷新你设定好的转换表。命令格式如图1-9:
ARP攻击主要是存在于局域网网络中,局域网中若有一台计算机感染ARP木马,则感染该ARP木马的系统将会试图通过“ARP欺骗”手段截获所在网络内其它计算机的通信信息,并因此造成网内其它计算机的通信故障。
某机器A要向主机B发送报文,会查询本地的ARP缓存表,找到B的IP地址对应的MAC地址后,就会进行数据传输。如果未找到,则A广播一个ARP请求报文(携带主机A的IP地址Ia——物理地址Pa),请求IP地址为Ib的主机B回答物理地址Pb。网上所有主机包括B都收到ARP请求,但只有主机B识别自己的IP地址,于是向A主机发回一个ARP响应报文。其中就包含有B的MAC地址,A接收到B的应答后,就会更新本地的ARP缓存。接着使用这个MAC地址发送数据(由网卡附加MAC地址)。因此,本地高速缓存的这个ARP表是本地网络流通的基础,而且这个缓存是动态的。
4.使用""proxy""代理IP的传输。
5.使用硬件屏蔽主机。设置好你的路由,确保IP地址能到达合法的路径。(静态配置路由ARP条目),注意,使用交换集线器和网桥无法阻止ARP欺骗。
6.管理员定期用响应的IP包中获得一个rarp请求,然后检查ARP响应的真实性。
7.管理员定期轮询,检查主机上的ARP缓存。
2对编辑过滤器进行设置(Edit filter settings),设置成包含ARP
如图1-2;
图1-2
3.点击IRIS的运行按钮(那个绿色的按钮),或捕获(Capture)按钮。
如图1-2:
图1-3
开始捕获数据包
4.捕获到的数据如图所示,选择一个你要攻击的主机,我们这里选择的是Ip为10.3.3.19的主机,选择的协议一定要是ARP的数据包。
如图1-4:
图1-4
5.点击Packet decoder(封包解码器)界面中的Target‘s IP Address:10.3.3.1选项,它会定位到封包解码器的编辑处,如图1-5,改变数字,我将数据包中的0A 03 03 01改成了0A 03 03 02。这里没把图截下来。
图1-5
然后点击图1-5中椭圆圈中的按钮,然后出现图1-6的界面。
8.使用防火墙连续监控网络。注意有使用SNMP的情况下,ARP的欺骗有可能导致陷阱包丢失。
图1-9
还有其他防止ARP攻击的解决方案。
1.不要把你的网络安全信任关系建立在IP基础上或MAC基础上,(rarp同样存在欺骗的问题),理想的关系应该建立在IP+MAC基础上。
2.除非很有必要,否则停止使用ARP,将ARP做为永久条目保存在对应表中。
3.使用ARP服务器。通过该服务器查找自己的ARP转换表来响应其他机器的ARP广播。确保这台ARP服务器不被黑。
本实验的主要目的是在局域网内,实施ARP攻击,使局域网的网关失去作用,导致局域网内部主机无法与外网通信。
三.实验环境:windows XP操作系统,Iris抓包软件
四.实验ቤተ መጻሕፍቲ ባይዱ骤:
1,安装Iris,第一次运行Iris后会出现一个要你对适配器的选择的
界面,点击适配器类型,点击确定就可以了:
如图1-1;
图1-1