arp协议分析实验报告(ARP协议分析实验)
ARP欺骗在局域网中的分析及全面防御
关于ARP欺骗,首先了解ARP协议。ARP协议即为地址解析协议。通信时将局域网中主机的IP地址解析为MAC地址,从而实现数据包传输。只有局域网才存在ARP欺骗。假定有如下五个IP地址的主机或者网络设备,它们分别是:
主机A 192.168.1.2
主机B 192.168.1.3
网关C 192.168.1.1
主机D 10.1.1.2
网关E 10.1.1.1
假如主机A要与主机B通信,它首先会检查自己的ARP缓存中是否有192.168.1.3这个地址对应的MAC地址,如果没有它就会向局域网的广播地址发送ARP请求包,大致的意思是192.168.1.3的MAC地址是什么请告诉192.168.1.2,而广播地址会把这个请求包广播给局域网内的所有主机,但是只有192.168.1.3这台主机才会响应这个请求包,它会回应192.168.1.2一个ARP包,大致的意思是192.168.1.3的MAC地址是02-02-02-02-02-02。这样的话主机A就得到了主机B的MAC地址,并且它会把这个对应的关系存在自己的ARP缓存表中。之后主机A与主机B之间的通信就依靠两者缓存表里的MAC地址来通信了,直到通信停止后2分钟,这个对应关系才会从表中被删除。
再来看一个非局域网内部的通信过程。假如主机A需要和主机D进行通信,它首先会发现这个主机D的IP地址并不是自己同一个网段内的,因此需要通过网关来转发,这样的话它会检查自己的ARP缓存表里是否有网关192.168.1.1对应的MAC地址,如果没有就通过ARP请求获得,如果有就直接与网关通信,然后再由网关C通过路由将数据包送到网关E,网关E收到这个数据包后发现是送给主机D(10.1.1.2)的,它就会检查自己的ARP缓存,看看里面是否有10.1.1.2对应的MAC地址,如果没有就使用ARP协议获得,如果有就是用该MAC地址与主机D通信。
通过上面的例子我们知道,在以太局域网内数据包传输依靠的是MAC地址,IP地址与MAC对应的关系依靠ARP表,每台主机(包括网关)都有一个ARP缓存表。在正常情况下这个缓存表能够有效保证数据传输的一对一性,像主机B之类的是无法截获A与D之间的通信信息的。
但是主机在实现ARP缓存表的机制中存在一个不完善的地方,当主机收到一个ARP的应答包后,它并不会去验证自己是否发送过这个ARP请求,而是直接将应答包里的MAC地址与IP对应的关系替换掉原有的ARP缓存表里的相应信息。这就导致主机B截取主机A与主机D之间的数据通信成为可能。
首先主机B向主机A发送一个ARP应答包说192.168.1.1的MAC地址是02-02-02-02-02-02,主机A收到这个包后并没有去验证包的真实性而是直接将自己ARP列表中的192.168.1.1的MAC地址替换成02-02-02-02-02-02,同时主机B向网关C发送一个ARP响应包说192.168.1.2的MAC是02-02-02-02-02-02,同样,网关C也没有去验证这个包的真实性就把自己ARP表中的192.168.1.2的MAC地址替换成02-02-02-02-02-02。当主机A想要与主机D通信时,它直接把应该发送给网关192.168.1.1的数据包发送到02-02-02-02-02-02这个MAC地址,也就是发给了主机B,主机B在收到这个包后经过修改再转发给真正的网关C,当从主机D返回的数据包到达网关C后,网关也使用自己ARP表中的MAC,将发往192.168.1.2这个IP地址的数据发往02-02-02-02-02-02这个MAC地址也就是主机B,主机B在收到这个包后再转发给主机A完成一次完整的数据通信,这样就成功地实现了一次ARP欺骗攻击。
对于ARP欺骗攻击的防护目前一般有两种方法。第一种即为在主机上绑定网关的IP地址和MAC地址。如果是局域网用户还要在路由器上绑定。第二种方法即为使用ARP防火墙,该方法比较简单,其实实现原理也就是将网关的IP地址与MAC地址绑定,从而解决局域网ARP欺骗的问题。(部分资料来源于互联网)
实训四 Windows 2000系统网络命令应用 实验报告???
这个都是些常用的命令,在xp/vista/win7系统开始菜单点击运行,输入cmd后即可出来dos提示框,分别输入上述命令,如果有参数,系统会提醒你,比如ping命令 可用:ping 192.168.0.2,ping后加的是要ping的计算机的IP地址,当然要在同一个网段内,其他命令也类似
ARP协议详解及以太网广播问题解析
1.ARP协议的作用
2.交换机的工作原理详解
3.ARP协议的报文抓包分析
4.以太网广播风暴问题及解决方案
5.以太网安全问题辨析
pc1会以ARP的request报文以广播的方式发送给连接这台交换机下面的所有者,例如pc2,pc2收到后会以ARP的reply报文回应,单波的方式回应pc1,c1收到c2的mac地址回应信息,它会将此信息记录在自己的缓存表里面,每台电脑都有自己的缓存表,缓存表里面存有一些pc的ip地址和mac地址对应关系。下一次发送给pc2,就会在自己的缓存表里面查询了,不会再以ARP方式发送广播了,缓存表重启或者随着时间会丢失。必须要知道mac地址,不然在数据链路层就不能完成装帧这个工作的。以太网通讯都需要mac地址,ARP报文是以request发送的,
动态ip地址是通过学习得到的,过段时间会丢失。
arp -d 删除所有报文? arp -a 啥都没有 ,再去Ping 又会重新发送报文? arp -a又会有了
pc1 ping pc2的报文pc3 R1路由器右端都会收不到,因为pc1会通过自身的ip 和掩码比对发现右端不自己不在同一个网段,所以不会发送arp报文。pc1发送报文会发现源mac是自身网卡mac,目标mac通过arp请求不到pc3的mac,目标mac如何填充呢,因为是跨网段通讯,因为是跨网段,所以需要网关,网关可以中转到达其他网段数据,所以pc1 和pc3通讯,发现源ip 自己的,目标ip是另一个网段的,源mac自己的,所以此时目标mac应该是网关的。通过网关来中转。所以pc1和pc3通讯,pc1mac是自己,然后mac到达R1路由器f0/0后,R1会在mac地址表里查到pc3的目标ip ,然后将数据传输到f0/1,到达f0/0是pc1的mac。到达f0/1的mac是f0/0的封装的mac,到达pc3.
R2#show mac-address-table查看交换机的mac地址表
Destination Address? Address Type? VLAN? Destination Port
-------------------? ------------? ----? --------------------
c001.179c.0000? ? ? ? ? Self? ? ? ? ? 1? ? Vlan1
c000.179c.0000? ? ? ? ? Dynamic? ? ? 1? ? FastEthernet1/14
arp -a的结果,求分析
引用 兔子不是仙啊 的回答。
在命令提示符下,输入“arp -a”是查看ARP缓存表中的内容
ARP原理:某机器A要向主机B发送报文,会查询本地的ARP缓存表,找到B的IP地址对应的MAC地址后,就会进行数据传输。如果未找到,则广播A一个ARP请求报文(携带主机A的IP地址Ia——物理地址Pa),请求IP地址为Ib的主机B回答物理地址Pb。网上所有主机包括B都收到ARP请求,但只有主机B识别自己的IP地址,于是向A主机发回一个ARP响应报文。其中就包含有B的MAC地址,A接收到B的应答后,就会更新本地的ARP缓存。接着使用这个MAC地址发送数据(由网卡附加MAC地址)。因此,本地高速缓存的这个ARP表是本地网络流通的基础,而且这个缓存是动态的。
ARP协议并不只在发送了ARP请求才接收ARP应答。当计算机接收到ARP应答数据包的时候,就会对本地的ARP缓存进行更新,将应答中的IP和MAC地址存储在ARP缓存中。因此,当局域网中的某台机器B向A发送一个自己伪造的ARP应答,而如果这个应答是B冒充C伪造来的,即IP地址为C的IP,而MAC地址是伪造的,则当A接收到B伪造的ARP应答后,就会更新本地的ARP缓存,这样在A看来C的IP地址没有变,而它的MAC地址已经不是原来那个了。由于局域网的网络流通不是根据IP地址进行,而是按照MAC地址进行传输。所以,那个伪造出来的MAC地址在A上被改变成一个不存在的MAC地址,这样就会造成网络不通,导致A不能Ping通C!这就是一个简单的ARP欺骗
你这种情况从arp -a 里查不出什么,更看不出有人限制了你的网速。防火墙提示你的局域网里有ARP病毒,这病毒可能在你局域网的任意一台主机上,不好查也不容易根治。或者有种情况是,现在很多大学寝室中有很多人因为想抢占带宽,使用ARP欺骗软件(网络管理软件),例如使用P2P 终结者等软件使的别的室友上不了网或者网速很慢。
最好的解决方法就是下载360安全卫士或金山ARP防火墙。开启里面的 局域网防护(ARP)保护,这样会对你的网络有一定保障,不会让你频繁的掉线。
360安全卫士开启方法: 电脑体验- 木马防火墙 - 入口防御 - 局域网防护ARP
金山ARP防火墙使用方法: 参考
首先下载安装金山ARP防火墙。 官方地址:
如果局域网中出现大量计算机突然无法上网的情况,那么,就可以打开此程序查看“拦截外部攻击包数”的数字是否不为0,如果是则表示有攻击。
在右侧的“上次攻击来源主机”右侧可以看到最新攻击源的计算机名称、IP与MAC地址。如果想查看是否存在多台感染ARP攻击的主机,则需切换到如图所示的“监控曰志”界面,在这里可看到详细的攻击源列表。
