网络攻击与防范-ARP攻击实验

华北电力大学实验报告||实验名称ARP攻击实验课程名称网络攻击与防范||专业班级：网络学生姓名：学号：成绩：指导教师：曹锦纲实验日期：华北电力大学实验报告第页共页一、实验目的及要求1、安装虚拟机（VMWARE）和WinArpAttacker软件（或其他ARP攻击软件）。2、熟悉软件功能特性。3、用ARP攻击对虚拟机进行攻击。4、分析攻击给目标主机的影响。二、所用仪器、设备两台WindowsXPProfessionalSP3虚拟机三、实验原理WinArpAttacker软件可以发现并搜集局域网中的所有数据包。它主要执行下列6种攻击行为：（1）FLOOD（Arp洪水）：不间断的IP冲突攻击。以最快的速度向目标主机发送IP冲突数据包，如果发送过多，目标主机将当机。（2）BANGATEWAY（屏蔽网关）：禁止上网。将目标主机的错误mac地址发送给网关，这样目标主机就无法从互联网接收数据包.此攻击用于阻止目标主机访问互联网。（3）IPConflict（IP冲突）：定时的IP冲突。与Arp洪水攻击类似，以常规速度向目标主机发送ip冲突数据包，由于IP冲突的信息,目标主机无法访问网络。（4）SniffGateway（嗅探网关）：监听选定机器与网关的通讯。在目标主机和网关之间进行欺骗，嗅探并搜集他们之间的数据包。（5）SniffHosts（嗅探主机）：监听选定的几台机器之间的通讯。在两台或多台主机之间进行欺骗，在这些主机之间嗅探并搜集数据包。（6）SniffLan（局域网嗅探）：监听整个网络任意机器之间的通讯。与嗅探网关类似，区别在于，局域网嗅探方式是将自己作为网关发送ARP广播包给所有主机，然后就可嗅探所有主机与网关之间的数据包。（非常危险）当欺骗ARP表时，无须局域网内其他主机的识别，即可将自己装饰为另一个网关（或包转发主机）。通过WinArpAttacker的包转发功能，可搜集并转发数据包，使用时最好禁止本地系统本身的包转发功能。能够统计通过WinArpAttacker包转发功能嗅探和转发的数据，就像在本地网络接口上看到的数据包统计值一样。ARP表在很短的时间内自动更新（大约5秒内），也可选择不自动刷新ARP表。四、实验方法与步骤1、在VMware中新建两个虚拟机，均安装WindowsXP系统，并设置网卡连接方式为华北电力大学实验报告第页共页Host-only（主机）模式。2、详细的TCP/IP参数设置如下：设备IP地址掩码MAC地址PC1192.168.137.2255.255.255.000-0C-29-5F-20-F0PC2192.168.137.3255.255.255.000-0C-29-AF-AE-6F3、确保两台虚拟机相互可以ping通：PC1：PC2：4、WinArpAttacker下载后直接解压缩即可使用，在PC1中打开WinArpAttacker.exe，即显示软件主界面。5、在WinArpAttacker主窗口中选择“扫描”→“高级”菜单项，即可打开“扫描”对话框。在其中选择“扫描网段”选项。单击“扫描”按钮进行扫描。会弹出Scanningsuccessfully（扫描成功）信息框。华北电力大学实验报告第页共页6、单击“确定”按钮，即可在WinArpAttacker主窗口中看到扫描结果，如图所示区域是主机列表区，主要显示局域网内机器IP、MAC、主机名、是否在线、是否在监听、是否处于被攻击状态，其中ArpSQ是该机器的发送ARP请求包的个数；ArpSP是该机器的发送回应包个数；ArpRQ是该机器接收的请求包个数；ArpRP是该机器接收的回应包个数。左下方区域主要显示检测事件，在这里显示检测到的主机状态变化和攻击事件。而右下方区域主要显示本地局域网中所有主机IP地址和MAC地址信息。7、在进行攻击之前，需要对攻击的各个属性进行设置。单击工具栏上的“设置”→华北电力大学实验报告第页共页“适配器”菜单项，则打开Options对话框，如下左图所示。如果本地主机安装有多块网卡，则可在“适配器”选项卡下选择绑定的网卡和IP地址。本次实验选择VMwareAcceleratedAMDPCNetAdapter网卡（即默认网卡）。在“攻击”选项卡中可设置网络攻击时的各种选项，如下右图所示。除“连续IP冲突”是次数外，其他都是持续的时间，如果是0则表示不停止。8、在“更新”选项卡中可设置自动扫描的时间间隔，如下左图所示。在“检测”选项卡中可设置是否启动自动检测以及检测的频率，如下右图所示。10、在“分析”选项卡中可设置保存ARP数据包文件的名称与路径，如下左图所示。在“ARP代理”选项卡中可启用代理ARP功能，如下右图所示。华北电力大学实验报告第页共页11、在“保护”选项卡中可以启用本地和远程防欺骗保护功能，以避免受到ARP欺骗攻击，如下图所示。12、在WinArpAttacker主窗口中选取需要攻击的主机，单击“攻击”按钮右侧下拉按钮，在弹出菜单中选择攻击方式，即可进行攻击。这样受到攻击的主机将不能正常与网络进行连接。13、一般攻击方式：（1）选择“不断IP冲突”攻击方式，在PC2上可以看到出现了“IP地址冲突提示”，PC2无法上网。（2）选择“定时IP冲突”攻击方式，在PC2上同样可以看到出现了“IP地址冲突华北电力大学实验报告第页共页提示”，PC2无法上网。该方式与“不断IP冲突”的差别是可以手动设置冲突时间。（3）在PC2中持续ping百度，看到可以ping通，在PC1中选择“禁止上网”攻击方式后，再次查看PC2，可以看到此时无法ping通百度，PC2已被禁止上网。14、Send功能：Attack的6个选项，其实都可以用Send功能自己实现。本次实验尝试通过Send功能修改目标主机的ARP缓存。（1）查看目标主机PC2的ARP缓存表如下：此时PC1的MAC地址是正常的。（2）选择“发送”功能，输入正确的SrcIP地址、MAC地址和DstIP地址，并将DstMAC地址修改为EE-EE-EE-EE-EE-EE，即错误的DstMAC地址，选择进行持续发送。华北电力大学实验报告第页共页（3）此时再次查看PC2的ARP缓存表，可以发现PC1的MAC地址已经被修改了，PC2无法ping通PC1。五、实验心得与体会本次实验学习使用了WinArpAttacker软件，熟悉了WinArpAttacker软件的功能特性，对ARP攻击有了切身的体会。在实验过程中，最初选择使用一台笔记本与一台虚拟机进行实验，其中虚拟机的网卡连接方式为Bridged（桥接）模式，此时虚拟机虽然可以看做网络中的一台独立主机，也有它自己的IP地址和MAC地址，但是在用WinArpAttacker软件进行扫描时，只能扫描出虚拟机的MAC地址与笔记本的MAC地址一致，最后导致所有的攻击方式都失效了，没办法产生禁止上网的效果。在网上查询了相关说明以及仔细比较了其他ARP攻击实验后，发现在通过虚拟机进行ARP攻击实验时，需要将虚拟机的网卡连接方式设置为Host-only（主机）模式，使虚拟机之间形成一个与真实的网络隔离的虚拟系统，在这个虚拟系统中，所有的虚拟机都是可以相互通信的，而在进行相关设置后，这个虚拟系统又可以通过宿主主机访问外网。因此，在这个虚拟系统中可以进行一些特殊的网络调试工作，比如本次ARP攻击实验。在进行测试后，确定了通过这种方式能有效进行ARP攻击实验，解决了实验中遇到的问题。华北电力大学实验报告第页共页