ARP攻击实验报告

网络入侵实验学号：0867010077姓名：***一．实验目的：1、了解基本的网络攻击原理和攻击的主要步骤；2、掌握网络攻击的一般思路；3、了解arp攻击的主要原理和过程；二．实验原理：arp攻击就是通过伪造ip地址和mac地址实现arp欺骗，能够在网络中产生大量的arp通信量使网络阻塞，攻击者只要持续不断的发出伪造的arp响应包就能更改目标主机arp缓存中的ip-mac条目，造成网络中断或中间人攻击。arp攻击主要是存在于局域网网络中，局域网中若有一台计算机感染arp木马，则感染该arp木马的系统将会试图通过“arp欺骗”手段截获所在网络内其它计算机的通信信息，并因此造成网内其它计算机的通信故障。某机器a要向主机b发送报文，会查询本地的arp缓存，找到b的ip地址对应的mac地址后，就会进行数据传输。如果未找到，则a广播一个arp请求报文（携带主机a的ip地址ia——物理地址pa），请求ip地址为ib的主机b回答物理地址pb。网上所有主机包括b都收到arp请求，但只有主机b识别自己的ip地址，于是向a主机发回一个arp响应报文。其中就包含有b的mac地址，a接收到b的应答后，就会更新本地的arp缓存。接着使用这个mac地址发送数据（由网卡附加mac地址）。因此，本地高速缓存的这个arp表是本地网络流通的基础，而且这个缓存是动态的。本实验的主要目的是在局域网内，实施arp攻击，使局域网的网关失去作用，导致局域网内部主机无法与外网通信。三．实验环境：windowsxp操作系统，iris抓包软件四．实验步骤：1，安装iris，第一次运行iris后会出现一个要你对适配器的选择的界面，点击适配器类型，点击确定就可以了：如图1-1；图1-12对编辑过滤器进行设置（editfiltersettings），设置成包含arp如图1-2；图1-23.点击iris的运行按钮（那个绿色的按钮）,或捕获（capture）按钮。如图1-2：图1-3开始捕获数据包4.捕获到的数据如图所示，选择一个你要攻击的主机，我们这里选择的是ip为10.3.3.19的主机，选择的协议一定要是arp的数据包。如图1-4：图1-4篇二：arp攻击实验报告如下图，打开路由web控制页面中的信息-arp攻击检测，如下图设置完后，如果有arp攻击，就会显示出来，如图，内网ip地址为192.168.101.249有arp攻击如果以后内网还有掉线现象，检查一下这里就可以了。另外，在系统设置-报警设置里也可以设置声音报警，如下图这样，以后内网一有攻击，路由就会自动报警了，然后看看arp攻击检测，就可以判断是否有arp攻击了。篇三：2010441696田亚南-实验报告口令攻击重庆科技学院学生实验报告12篇四：arp欺骗攻击实验报告arp协议的工作原理在每台安装有tcp/ip协议的电脑里都有一个arp缓存表，表里的ip地址与mac地址是一一对应的，如附表所示。附表我们以主机a（192.168.1.5）向主机b（192.168.1.1）发送数据为例。当发送数据时，主机a会在自己的arp缓存表中寻找是否有目标ip地址。如果找到了，也就知道了目标mac地址，直接把目标mac地址写入帧里面发送就可以了；如果在arp缓存表中没有找到相对应的ip地址，主机a就会在网络上发送一个广播，目标mac地址是“ff.ff.ff.ff.ff.ff”，这表示向同一网段内的所有主机发出这样的询问：“192.168.1.1的mac地址是什么？”网络上其他主机并不响应arp询问，只有主机b接收到这个帧时，才向主机a做出这样的回应：“192.168.1.1的mac地址是00-aa-00-62-c6-09”。这样，主机a就知道了主机b的mac地址，它就可以向主机b发送信息了。同时它还更新了自己的arp缓存表，下次再向主机b发送信息时，直接从arp缓存表里查找就可以了。arp缓存表采用了老化机制，在一段时间内如果表中的某一行没有使用，就会被删除，这样可以大大减少arp缓存表的长度，加快查询速度。arp攻击就是通过伪造ip地址和mac地址实现arp欺骗，能够在网络中产生大量的arp通信量使网络阻塞，攻击者只要持续不断的发出伪造的arp响应包就能更改目标主机arp缓存中的ip-mac条目，造成网络中断或中间人攻击。arp攻击主要是存在于局域网网络中，局域网中若有一个人感染arp木马，则感染该arp木马的系统将会试图通过“arp欺骗”手段截获所在网络内其它计算机的通信信息，并因此造成网内其它计算机的通信故障。三、如何查看arp缓存表arp缓存表是可以查看的，也可以添加和修改。在命令提示符下，输入“arp-a”就可以查看arp缓存表中的内容了，如附图所示。用“arp-d”命令可以删除arp表中某一行的内容；用“arp-s”可以手动在arp表中指定ip地址与mac地址的对应。四、arp欺骗其实，此起彼伏的瞬间掉线或大面积的断网大都是arp欺骗在作怪。arp欺骗攻击已经成了破坏网吧经营的罪魁祸首，是网吧老板和网管员的心腹大患。从影响网络连接通畅的方式来看，arp欺骗分为二种，一种是对路由器arp表的欺骗；另一种是对内网pc的网关欺骗。第一种arp欺骗的原理是——截获网关数据。它通知路由器一系列错误的内网mac地址，并按照一定的频率不断进行，使真实的地址信息无法通过更新保存在路由器中，结果路由器的所有数据只能发送给错误的mac地址，造成正常pc无法收到信息。第二种arp欺骗的原理是——伪造网关。它的原理是建立假网关，让被它欺骗的pc向假网关发数据，而不是通过正常的路由器途径上网。在pc看来，就是上不了网了，“网络掉线了”。一般来说，arp欺骗攻击的后果非常严重，大多数情况下会造成大面积掉线。有些网管员对此不甚了解，出现故障时，认为pc没有问题，交换机没掉线的“本事”，电信也不承认宽带故障。而且如果第一种arp欺骗发生时，只要重启路由器，网络就能全面恢复，那问题一定是在路由器了。为此，宽带路由器背了不少“黑锅”。作为网吧路由器的厂家，对防范arp欺骗不得已做了不少份内、份外的工作。一、在宽带路由器中把所有pc的ip-mac输入到一个静态表中，这叫路由器ip-mac绑定。二、力劝网管员在内网所有pc上设置网关的静态arp信息，这叫pc机ip-mac绑定。一般厂家要求两个工作都要做，称其为ip-mac双向绑定。显示和修改“地址解析协议”(arp)所使用的到以太网的ip或令牌环物理地址翻译表。该命令只有在安装了tcp/ip协议之后才可用。arp-a[inet_addr][-n[if_addr]arp-dinet_addr[if_addr]arp-sinet_addrether_addr[if_addr]参数-a通过询问tcp/ip显示当前arp项。如果指定了inet_addr，则只显示指定计算机的ip和物理地址。-g与-a相同。inet_addr以加点的十进制标记指定ip地址。-n显示由if_addr指定的网络界面arp项。if_addr指定需要修改其地址转换表接口的ip地址（如果有的话）。如果不存在，将使用第一个可适用的接口。-d删除由inet_addr指定的项。-s在arp缓存中添加项，将ip地址inet_addr和物理地址ether_addr关联。物理地址由以连字符分隔的6个十六进制字节给定。使用带点的十进制标记指定ip地址。项是永久性的，即在超时到期后项自动从缓存删除。ether_addr指定物理地址。五、遭受arp攻击后现象arp欺骗木马的中毒现象表现为：使用局域网时会突然掉线，过一段时间后又会恢复正常。比如客户端状态频频变红，用户频繁断网，ie浏览器频繁出错，以及一些常用软件出现故障等。如果局域网中是通过身份认证上网的，会突然出现可认证，但不能上网的现象（无法ping通网关），重启机器或在ms-dos窗口下运行命令arp-d后，又可恢复上网。实验4-2arp攻击实验一、实验目的1、了解基本的网络攻击原理和攻击的主要步骤；2、了解arp攻击的主要原理和过程；二、实验设备及环境三台装有windows2000/xp电脑操作系统的计算机，并且这三台要在同一个局域网内，winarpattackerv3.5，聚生网管软件，sniffer或wireshark。三、实验内容及步骤（截图并对图示进行必要的文字说明）1、打开两台计算机，记录下其ip地址，例如分别为192.168.1.16和192.168.1.17。2、在1.16计算机上ping1.17。（注：此处ip为192.168.1.17的缩写，实际运行时需要输入完整的ip，后同）3、在1.16计算机上查看arp缓存，验证缓存的1.17mac地址是否正确?4、在1.16计算机上为1.17添加一条静态的mac地址记录，然后再在1.16计算机上ping1.17，验证能否ping通?5、在1.16计算机上，清除所有缓存，然后再在1.16计算机上ping1.17，验证能否ping通?6、在1.16计算机上，安装arp攻击器v3.5(1)运行winpcap_3_1.exe。(2)运行winarpattacker.exe，屏幕右下角出现一个小图标，双击该图标。7、在1.16计算机上，为arp攻击器指定网卡。arp攻击器->options菜单->adapter菜单->adapter选项->选择物理网卡8、在1.16计算机上，扫描出本网段所有主机。arp攻击器->scan->advanced->scanarange->设置为1.0-1.2549、在1.16计算机上，勾中需要攻击的计算机1.17，利用attack->flood进行不间断的ip冲突攻击。在1.17计算机查看是否出现了ip地址冲突提示?。10、在1.16计算机上，设置ip冲突攻击的次数，使得进行长时间的ip冲突。arp攻击器->options菜单->attack菜单->attack选项->arpfloodtimes设置为100000011、勾中需要攻击的计算机1.17，利用attack->flood进行不间断的ip冲突攻击。在1.17计算机查看是否连续不断地出现了ip地址冲突提示?是。注意:flood攻击是指不间断的ip冲突攻击，而ipconflict攻击则是指定时的ip冲突攻击。12、在1.16计算机停止flood攻击，在1.17计算机查看是否还有ip地址冲突提示?无。arp攻击器->工具条->点击arp/stop按钮13、设置各种网络参数，使得1.17计算机可以上网，并连续ping新浪。14、在1.16计算机上，勾中需要攻击的计算机1.17，利用attack->bangateway使对方计算机不能上网。在1.17计算机查看是否可以ping通新浪?不能。如果还能访问新浪，请修改options菜单->attack->attack->修改bantogateway为0，然后再试。思考:为什么1.17不能上网?15、在1.17计算机上，查看arp缓存，验证缓存中网关的mac地址是否正确?错误。16、在1.16计算机上，勾中需要攻击的计算机1.17，利用attack->sniffgateway监听1.17的上网数据包。17、在1.17计算机上，ping新浪。在1.16计算机上，利用网络监视器能否监听到1.17的icmp数据包?18、在1.17计算机上，查看arp缓存，验证缓存中网关的mac地址是否正确?19、在1.16计算机上，利用工具条->send按钮手工发送伪造的arp包，对1.17发动连续的ip冲突攻击。arp攻击器->工具条->点击send按钮->dstip和srcip都设置为1.17，dsthardwaremac设置为1.17的正确mac地址，勾中continuously选项，其余不用设置。思考:hardwaremac地址和protocolmac地址有何区别?20、在1.16计算机上，利用工具条->send按钮手工发送伪造的arp包，对1.17发动bangateway攻击。在1.17计算机查看是否可以ping通新浪?21、arp攻击器->工具条->点击send按钮->dstip设置为1.17，srcip设置为1.1，dsthardwaremac设置为1.17的正确mac地址，勾中continuously选项，其余不用设置。21、在1.16计算机上，利用工具条->send按钮手工发送伪造的arp包，对1.17发动sniffgateway攻击。在1.16计算机上，利用网络监视器能否监听到1.17的icmp数据包?arp攻击器->工具条->点击send按钮->dstip设置为1.17，srcip设置为1.1，dsthardwaremac设置为1.17的正确mac地址，srchardwaremac和srcprotocolmac设置为1.16的正确mac地址，勾中continuously选项，其余不用设置。22、在1.17计算机上，安装antiarp6.0.2。在1.16计算机上，利用arp攻击器对1.17发动各种攻击，验证能否奏效?23、在1.16计算机上，安装聚生网管软件。24、打开另外一台真机(必须真机)，ip为1.18，充当被管理的计算机。25、在1.16计算机上，运行并配置聚生网管软件。开始菜单->程序->聚生网管->新建监控网段->vlan1->选择对应网卡:选择物理网卡->本网段公网出口接入带宽:自动检测->开始监控->网络控制台->启动网络控制服务26、在1.16计算机上，通过聚生网管软件控制1.18计算机上网。聚生网管->网络主机扫描->扫描网络主机->钩中1.18->应用控制设置27、在1.18计算机上，通过arp-a查看网关mac是否正确?思考:为什么?28、在1.16计算机上，通过聚生网管软件禁止1.18计算机访问所有网站。29、在1.18计算机上，验证是否可以访问网站?30、在1.16计算机上，通过聚生网管软件允许1.18计算机访问新浪网站。31、在1.18计算机上，验证是否可以访问新浪网站?：实验4-2arp攻击实验一、实验目的1、了解基本的网络攻击原理和攻击的主要步骤；2、了解arp攻击的主要原理和过程；二、实验设备及环境三台装有windows2000/xp电脑操作系统的计算机，并且这三台要在同一个局域网内，winarpattackerv3.5，聚生网管软件，sniffer或wireshark。三、实验内容及步骤（截图并对图示进行必要的文字说明）1、打开两台计算机，记录下其ip地址：2、在192.168.1.110计算机上ping计算机192.168.1.109，如下：3、在192.168.1.110计算机上查看arp缓存，验证缓存的192.168.1.109计算机上mac地址是否正确?——正确4、在192.168.1.110计算机上为192.168.1.109添加一条静态的mac地址记录，然后再在192.168.1.110计算机上ping192.168.1.109，验证能否ping通?——不通5、在192.168.1.110计算机上，清除所有缓存，然后再在192.168.1.110计算机上ping192.168.1.109，验证能否ping通?——通6、在192.168.1.110计算机上，安装arp攻击器v3.5运行winpcap_3_1.exe。运行winarpattacker.exe，屏幕右下角出现一个小图标，双击该图标。