網(wǎng)絡(luò)攻擊與防范ARP攻擊實(shí)驗(yàn)

華北電力大學(xué)實(shí)驗(yàn)報(bào)告||實(shí)驗(yàn)名稱(chēng)ARP攻擊實(shí)驗(yàn)課程名稱(chēng)網(wǎng)絡(luò)攻擊與防備||專(zhuān)業(yè)班級(jí)：網(wǎng)絡(luò)學(xué)生姓名：學(xué)號(hào)：成績(jī)：指導(dǎo)教師：曹錦綱實(shí)驗(yàn)日期：一、實(shí)驗(yàn)?zāi)康募耙?guī)定1、安裝虛擬機(jī)（VMWARE）和WinArpAttacker軟件（或其它ARP攻擊軟件）。2、熟悉軟件功效特性。3、用ARP攻擊對(duì)虛擬機(jī)進(jìn)行攻擊。4、分析攻擊給目的主機(jī)的影響。二、所用儀器、設(shè)備兩臺(tái)WindowsXPProfessionalSP3虛擬機(jī)三、實(shí)驗(yàn)原理WinArpAttacker軟件能夠發(fā)現(xiàn)并收集局域網(wǎng)中的全部數(shù)據(jù)包。它重要執(zhí)行下列6種攻擊行為：（1）FLOOD（Arp洪水）：不間斷的IP沖突攻擊。以最快的速度向目的主機(jī)發(fā)送IP沖突數(shù)據(jù)包，如果發(fā)送過(guò)多，目的主機(jī)將當(dāng)機(jī)。（2）BANGATEWAY（屏蔽網(wǎng)關(guān)）：嚴(yán)禁上網(wǎng)。將目的主機(jī)的錯(cuò)誤mac地址發(fā)送給網(wǎng)關(guān)，這樣目的主機(jī)就無(wú)法從互聯(lián)網(wǎng)接受數(shù)據(jù)包.此攻擊用于制止目的主機(jī)訪問(wèn)互聯(lián)網(wǎng)。（3）IPConflict（IP沖突）：定時(shí)的IP沖突。與Arp洪水攻擊類(lèi)似，以常規(guī)速度向目的主機(jī)發(fā)送ip沖突數(shù)據(jù)包，由于IP沖突的信息,目的主機(jī)無(wú)法訪問(wèn)網(wǎng)絡(luò)。（4）SniffGateway（嗅探網(wǎng)關(guān)）：監(jiān)聽(tīng)選定機(jī)器與網(wǎng)關(guān)的通訊。在目的主機(jī)和網(wǎng)關(guān)之間進(jìn)行欺騙，嗅探并收集他們之間的數(shù)據(jù)包。（5）SniffHosts（嗅探主機(jī)）：監(jiān)聽(tīng)選定的幾臺(tái)機(jī)器之間的通訊。在兩臺(tái)或多臺(tái)主機(jī)之間進(jìn)行欺騙，在這些主機(jī)之間嗅探并收集數(shù)據(jù)包。（6）SniffLan（局域網(wǎng)嗅探）：監(jiān)聽(tīng)整個(gè)網(wǎng)絡(luò)任意機(jī)器之間的通訊。與嗅探網(wǎng)關(guān)類(lèi)似，區(qū)別在于，局域網(wǎng)嗅探方式是將自己作為網(wǎng)關(guān)發(fā)送ARP廣播包給全部主機(jī)，然后就可嗅探全部主機(jī)與網(wǎng)關(guān)之間的數(shù)據(jù)包。（非常危險(xiǎn)）當(dāng)欺騙ARP表時(shí)，不必局域網(wǎng)內(nèi)其它主機(jī)的識(shí)別，即可將自己裝飾為另一種網(wǎng)關(guān)（或包轉(zhuǎn)發(fā)主機(jī)）。通過(guò)WinArpAttacker的包轉(zhuǎn)發(fā)功效，可收集并轉(zhuǎn)發(fā)數(shù)據(jù)包，使用時(shí)最佳嚴(yán)禁本地系統(tǒng)本身的包轉(zhuǎn)發(fā)功效。能夠統(tǒng)計(jì)通過(guò)WinArpAttacker包轉(zhuǎn)發(fā)功效嗅探和轉(zhuǎn)發(fā)的數(shù)據(jù)，就像在本地網(wǎng)絡(luò)接口上看到的數(shù)據(jù)包統(tǒng)計(jì)值同樣。ARP表在很短的時(shí)間內(nèi)自動(dòng)更新（大概5秒內(nèi)），也可選擇不自動(dòng)刷新ARP表。四、實(shí)驗(yàn)辦法與環(huán)節(jié)1、在VMware中新建兩個(gè)虛擬機(jī)，均安裝WindowsXP系統(tǒng)，并設(shè)立網(wǎng)卡連接方式為Host-only（主機(jī)）模式。2、具體的TCP/IP參數(shù)設(shè)立以下：設(shè)備IP地址掩碼MAC地址PC1、確保兩臺(tái)虛擬機(jī)互相能夠ping通：PC1：PC2：4、WinArpAttacker下載后直接解壓縮即可使用，在PC1中打開(kāi)，即顯示軟件主界面。5、在WinArpAttacker主窗口中選擇“掃描”→“高級(jí)”菜單項(xiàng)，即可打開(kāi)“掃描”對(duì)話框。在其中選擇“掃描網(wǎng)段”選項(xiàng)。單擊“掃描”按鈕進(jìn)行掃描。會(huì)彈出Scanningsuccessfully（掃描成功）信息框。6、單擊“擬定”按鈕，即可在WinArpAttacker主窗口中看到掃描成果，如圖所示區(qū)域是主機(jī)列表區(qū)，重要顯示局域網(wǎng)內(nèi)機(jī)器IP、MAC、主機(jī)名、與否在線、與否在監(jiān)聽(tīng)、與否處在被攻擊狀態(tài)，其中ArpSQ是該機(jī)器的發(fā)送ARP請(qǐng)求包的個(gè)數(shù)；ArpSP是該機(jī)器的發(fā)送回應(yīng)包個(gè)數(shù)；ArpRQ是該機(jī)器接受的請(qǐng)求包個(gè)數(shù)；ArpRP是該機(jī)器接受的回應(yīng)包個(gè)數(shù)。左下方區(qū)域重要顯示檢測(cè)事件，在這里顯示檢測(cè)到的主機(jī)狀態(tài)變化和攻擊事件。而右下方區(qū)域重要顯示本地局域網(wǎng)中全部主機(jī)IP地址和MAC地址信息。7、在進(jìn)行攻擊之前，需要對(duì)攻擊的各個(gè)屬性進(jìn)行設(shè)立。單擊工具欄上的“設(shè)立”→“適配器”菜單項(xiàng)，則打開(kāi)Options對(duì)話框，以下左圖所示。如果本地主機(jī)安裝有多塊網(wǎng)卡，則可在“適配器”選項(xiàng)卡下選擇綁定的網(wǎng)卡和IP地址。本次實(shí)驗(yàn)選擇VMwareAcceleratedAMDPCNetAdapter網(wǎng)卡（即默認(rèn)網(wǎng)卡）。在“攻擊”選項(xiàng)卡中可設(shè)立網(wǎng)絡(luò)攻擊時(shí)的多個(gè)選項(xiàng)，以下右圖所示。除“持續(xù)IP沖突”是次數(shù)外，其它都是持續(xù)的時(shí)間，如果是0則表達(dá)不停止。8、在“更新”選項(xiàng)卡中可設(shè)立自動(dòng)掃描的時(shí)間間隔，以下左圖所示。在“檢測(cè)”選項(xiàng)卡中可設(shè)立與否啟動(dòng)自動(dòng)檢測(cè)以及檢測(cè)的頻率，以下右圖所示。10、在“分析”選項(xiàng)卡中可設(shè)立保存ARP數(shù)據(jù)包文獻(xiàn)的名稱(chēng)與途徑，以下左圖所示。在“ARP代理”選項(xiàng)卡中可啟用代理ARP功效，以下右圖所示。11、在“保護(hù)”選項(xiàng)卡中能夠啟用本地和遠(yuǎn)程防欺騙保護(hù)功效，以避免受到ARP欺騙攻擊，以下圖所示。12、在WinArpAttacker主窗口中選用需要攻擊的主機(jī)，單擊“攻擊”按鈕右側(cè)下拉按鈕，在彈出菜單中選擇攻擊方式，即可進(jìn)行攻擊。這樣受到攻擊的主機(jī)將不能正常與網(wǎng)絡(luò)進(jìn)行連接。13、普通攻擊方式：（1）選擇“不停IP沖突”攻擊方式，在PC2上能夠看到出現(xiàn)了“IP地址沖突提示”，PC2無(wú)法上網(wǎng)。（2）選擇“定時(shí)IP沖突”攻擊方式，在PC2上同樣能夠看到出現(xiàn)了“IP地址沖突提示”，PC2無(wú)法上網(wǎng)。該方式與“不停IP沖突”的差別是能夠手動(dòng)設(shè)立沖突時(shí)間。（3）在PC2中持續(xù)ping百度，看到能夠ping通，在PC1中選擇“嚴(yán)禁上網(wǎng)”攻擊方式后，再次查看PC2，能夠看到此時(shí)無(wú)法ping通百度，PC2已被嚴(yán)禁上網(wǎng)。14、Send功效：Attack的6個(gè)選項(xiàng)，其實(shí)都能夠用Send功效自己實(shí)現(xiàn)。本次實(shí)驗(yàn)嘗試通過(guò)Send功效修改目的主機(jī)的ARP緩存。（1）查看目的主機(jī)PC2的ARP緩存表以下：此時(shí)PC1的MAC地址是正常的。（2）選擇“發(fā)送”功效，輸入對(duì)的的SrcIP地址、MAC地址和DstIP地址，并將DstMAC地址修改為EE-EE-EE-EE-EE-EE，即錯(cuò)誤的DstMAC地址，選擇進(jìn)行持續(xù)發(fā)送。（3）此時(shí)再次查看PC2的ARP緩存表，能夠發(fā)現(xiàn)PC1的MAC地址已經(jīng)被修改了，PC2無(wú)法ping通PC1。五、實(shí)驗(yàn)心得與體會(huì)本次實(shí)驗(yàn)學(xué)習(xí)使用了WinArpAttacker軟件，熟悉了WinArpAttacker軟件的功效特性，對(duì)ARP攻擊有了切身的體會(huì)。在實(shí)驗(yàn)過(guò)程中，最初選擇使用一臺(tái)筆記本與一臺(tái)虛擬機(jī)進(jìn)行實(shí)驗(yàn)，其中虛擬機(jī)的網(wǎng)卡連接方式為Bridged（橋接）模式，此時(shí)虛擬機(jī)即使能夠看做網(wǎng)絡(luò)中的一臺(tái)獨(dú)立主機(jī)，也有它自己的IP地址和MAC地址，但是在用WinArpAttacker軟件進(jìn)行掃描時(shí)，只能掃描出虛擬機(jī)的MAC地址與筆記本的MAC地址一致，最后造成全部的攻擊方式都失效了，沒(méi)方法產(chǎn)生嚴(yán)禁上網(wǎng)的效果。在網(wǎng)上查詢(xún)了有關(guān)闡明以及認(rèn)真比較了其它ARP攻擊實(shí)驗(yàn)后，發(fā)現(xiàn)在通過(guò)虛擬機(jī)進(jìn)行ARP攻擊實(shí)驗(yàn)時(shí)，需要將虛擬機(jī)的網(wǎng)卡連接方式設(shè)立為Host-only（主機(jī)）模式，使虛擬機(jī)之間形