防御arp欺骗的协议

神州数码网络公司客户服务中心

ARP欺骗与防御手段

神州数码网络公司

第1页，共15页

神州数码网络公司客户服务中心

目 录

1. ARP欺骗 .................................................................................................................................. 3

1.1. ARP协议工作原理 ...................................................................................................... 3 1.2. ARP协议的缺陷 .......................................................................................................... 3 1.3. ARP协议报文格式 ..............................................................

前言：ARP协议的作用：

1. 什么是ARP?

ARP (Address Resolution Protocol) 是个地址解析协议。最直白的说法是：在IP以太网中，当一个上层协议要发包时，有了该节点的IP地址，ARP就能提供该节点的MAC地址。 2为什么要有ARP？

OSI 模式把网络工作分为七层，彼此不直接打交道，只通过接口(layre interface). IP地址在第三层, MAC地址在第二层。

协议在发生数据包时，首先要封装第三层 （IP地址）和第二层 （MAC地址）的报头, 但协议只知道目的节点的IP地址，不知道其物理地址，又不能跨第二、三层，所以得用ARP的服务。 详细说明：

? 在网络通讯时，源主机的应用程序知道目的主机的IP地址和端口号，却不知道目的主机的硬件地址，而数据包首先是被网卡接收到再去处理上层协议的，如果接收到的数据包的硬件地址与本机不符，则直接丢弃。因此在通讯前必须获得目的主机的硬件地址。ARP协议就起到这个作用

? 当一台主机把以太网数据帧发送到位于同一局域网上的另一台主机时，是根据 48位的以太网地址来确定目的接口的，设备驱动程序从不检查 IP数据报中的目的IP地址。ARP（地址解析）模块的功

所构建的模型能够比较稳定地监听到局域网中其他主机之间的通信数据,有一定的实用价值.通过该模型可以了解到黑客基于ARP的网络监听的攻击方式的原理,从而有效地对这种攻击加以防范和检测.

第3 2卷第 2期Vo . 2 13 No 2 .

菏

泽

学

院

学

报

21 0 0年 3月Ma . r 2 O 0l

J un l fHe eUnv ri o ra z iest o y

文章编号：6 3—20 (0 0 0 0 3 0 17 13 2 1 )2— 0 2— 4

基于 A P欺骗的网络监听技术及其实现 R段冬燕(菏泽学院计算机与信息工程系，山东菏泽 2 4 1 ) 70 5

摘测.

要：所构建的模型能够比较稳定地监听到局域网中其他主机之间的通信数据，一定的实用价值.有

通过该模型可以了解到黑客基于 A P的网络监听的攻击方式的原理，而有效地对这种攻击加以防范和检 R从关键词：网络监听； R A P欺骗； C地址 MA中图分类号：P3 3 0 T 9 . 8文献标识码： A

引言随着计算机网络技术的发展，网络已经成为人们生活中不可或缺的工具，在它给人们的生活、习、学工作带来前所未有的方便和机遇的同时，由于网络自身固有的不安全性，网络安全问题也越来越引起人们的关

案例分析总结

文档编号：65wangt200705242 文档名称：锐捷全网防ARP欺骗配置案例 替代文档：（根据资料库是否有需要替换的内容填写） 附 件：（有附件的，请填写文档编号） 编制区域：华东区 编 制 人：王涛 发布时间：（最终发布时由林晋填写） 总页数：11 正文页数：10 内容提要： S21推出支持DHCP relay跨管理vlan relay版本，S3760推出支持arp cheak版本，S86推出支持DAI（动态arp检测）功能后，锐捷已经在全球率先推出了全网防arp欺骗的解决方案。 文档类型： ● T—文本文件 ○ I一图像文件 ○ G—图形文件 ○ V一影像文件 ○ A—声音文件 ○ O—超媒体链结文件 ○ P—程序文件 ○ D—数据文件 公布对象：●公司内部 ○用户 审 核 人：

技术类模版：

评语： 锐捷全网防ARP欺骗配置案例 产品类型/所使S2100G V1.68 (1a3)支持 标题 用版本 内容提要： 编写日期 编写人 发布对象 RG-S3760 V 4.1

zxARPs局域网ARP欺骗挂马方式详细讲解（图文）

一种新的挂马方式开始流行——局域网ARP欺骗挂马，只要局域网内一台机子中招了，它就可以在内网传播含有木马的网页，捕获的肉鸡就会成几何增长。

局域网ARP欺骗挂马的好处如下：无需入侵网站，只要你的主机处于局域网中即可，这是它最大的优点;收获的肉鸡多多，短时间内可以收获数十台甚至上百台肉鸡，类似网吧这样由上百台电脑组成的局域网是最好的挂马场所;局域网内的用户访问任何网站都会中我们的木马。看了上面的介绍，各位是不是已经蠢蠢欲动了? 第一步：配置木马服务端 第七城市

我们以“黑洞”木马为例。运行“黑洞”木马的Client.exe文件，进入Client.exe的主界面后，点击“文件→创建DLL插入版本服务端程序”。

进入服务端程序的创建界面后，首先勾选“Win NT/2000/XP/2003下隐藏服务端文件、注册表、进程和服务”，然后切换到“连接选项”标签，在“主机”一栏中填入本机的公网IP地址，端口可以保持默认的“2007”。最后在“连接密码”处填入用来连接对方的密码，例如123456(图1)。设置完成后点击“生成”按钮，将木马服务端保存为muma.exe。

填写密码 第七城市

第二步：生成网页木

北京理工大学珠海学院实验报告

ZHUHAI CAMPAUS OF BEIJING INSTITUTE OF TECHNOLOGY

班级： 学号： 姓名： 指导教师： 成绩

实验题目： 实验时间：

一、 实验目的：

掌握ARP命令的用法，理解ARP协议原理，理解ARP协议的分组格式。 二、 实验内容及步骤： 1．实验内容：

用ARP命令查看本机ARP缓存中的内容，ARP命令的参数的使用，捕获ARP分组，分析分组格式和首部各字段的含义。 2．实验步骤：

(1)观察ARP缓存表的内容

通过命令arp –a 查看本机ARP缓存的内容，分析每个项目的含义。在命令窗口执行命令ping 临机IP，再观察ARP缓存的内容，理解ARP缓存的作用和生成过程。 (2)观察ARP缓存生存时间

反复用命令arp –a 查看ARP缓存，通过计时观察动态ARP缓存的生存时间。 (3)观察本机ARP缓存生成过程

在命令行下用arp –d命令删除PC1上的所有arp表项，然后用ping 临机ip，用该命令来触发arp过程。通过科来网络分析系统捕获分组可以观察arp过程。此时在PC1和PC2上，

《计算机网络》实验指导书

实验1 ARP协议分析实验

一、实验目的

? 理解IP地址与MAC地址的对应关系； ? 理解ARP协议报文格式；

? 理解ARP协议的工作原理与通信过程。

二、实验内容

? ARP请求报文与应答报文格式；

? 同一子网内两台机器间的ARP协议的工作过程； ? 不同子网上的两台机器间的ARP协议工作过程。

三、实验原理、方法和手段

（1） ARP请求报文与应答报文格式

硬件类型 硬件地址长度 协议地址长度 发送者硬件地址(0~3字节) 发送者硬件地址(4~5字节) 发送者IP地址(2~3字节) 协议类型 操作 发送者IP地址(0~1字节) 目的硬件地址(0~1字节) 目的硬件地址(2~5字节) 目的IP地址(0~3字节) 操作类型：1—ARP 请求；2—ARP 响应；3-- RARP请求；4—RARP 响应；

四、实验条件

（1）报文捕获工具

Wireshark协议分析软件； （2）应用协议环境

每个学生的PC机（安装Windows xp或者Windows 2000 操作系统）处于同一个LAN，主机A为本人机器，主机B为你邻座同学机器，另外有一个服务器（学校的WEB服务器，地址：210.44.144

计算机网络 地址转换协议ARP

试验二地址转换协议ARP

练习一：领略真实的ARP（同一子网）

各主机打开协议分析器，进入相应的网络结构并验证网络拓扑的正确性，如果通过拓扑验证，关闭协议分析器继续进行实验，如果没有通过拓扑验证，请检查网络连接。

本练习将主机A、B、C、D、E、F作为一组进行实验。

1. 主机A、B、C、D、E、F启动协议分析器，打开捕获窗口进行数据捕获并设置过滤条件（提取ARP、ICMP）。

2. 主机A、B、C、D、E、F在命令行下运行“arp -d”命令，清空ARP高速缓存。

3. 主机A ping 主机D（172.16.1.4）。

4. 主机E ping 主机F（172.16.0.3）。

5. 主机A、B、C、D、E、F停止捕获数据，并立即在命令行下运行“arp -a”命令察看ARP高速缓存。

● ARP高速缓存表由哪几项组成？

●结合协议分析器上采集到的ARP报文和ARP高速缓存表中新增加的条目，简述ARP协议的报文交互过程以及ARP高速缓存表的更新过程。

实验截图：

打开协议分析器，进入相应的网络结构并验证网络拓扑的正确性：

计算机网络 地址转换协议ARP

运行“arp -d”命令，清空ARP高速缓存：运行“arp -a”命令察看ARP高速缓存

实验内容：网络层IP/ARP协议分析

一、实验目的

1、理解IP协议报文类型和格式，掌握IP V4 地址的编址方法。 2、分析 ARP 协议的报文格式，理解 ARP 协议的解析过程。 二、实验设备

安装有Ethereal软件和windows操作系统的微机系统

三、实验内容

1、IP协议分析实验

使用 Ping 命令在两台计算机之间发送数据报，用 Ethereal 截获数据报，分析 IP 数据报的格式，理解 IP V4 地址的编址方法，加深对 IP 协议的理解。 2、IP 数据报分片实验

我们已经从前边的实验中看到，IP 报文要交给数据链路层封装后才能发送。理想情况下，每个 IP 报文正好能放在同一个物理帧中发送。但在实际应用中，每种网络技术所支持的最大帧长各不相同。例如：以太网的帧中最多可容纳 1500 字节的数据；FDDI帧最多可容纳 4470 字节的数据。这个上限被称为物理网络的最大传输单元（MTU，MaxiumTransfer Unit）。

TCP/IP 协议在发送 IP 数据报文时，一般选择一个合适的初始长度。当这个报文要从一个 MTU 大的子网发送到一个 MTU 小的网络时，IP 协议就把这个报文的数据部分分割成能被目的子网所容纳

实验二：理解子网掩码、网关和ARP协议的作用

一、实验目的

理解上述知识点所涉及的基本概念与原理并能运用于分析实际网络，达到对数据包的传送过程深入理解。

二、实验内容

在实验中，利用ping命令来检验主机间能否进行正常的双向通信。在\的过程中，源主机向目标主机发送ICMP的Echo Request报文，目标主机收到后，向源主机发回ICMP的Echo Reply报文，从而可以验证源与目标主机能否进行正确的双向通信。

实验的拓扑结构：如图（1）所示。

202.192.31.235/20

A与B为实验用的PC机，使用Windows操作系统。

步骤1：设置主机的IP地址与子网掩码：

A（1号机）: 202.192.31.机号 255.255.248.0 B（2号机）: 202.192.30.机号 255.255.248.0 两台主机均不设置缺省网关。

用arp -d命令清除两台主机上的ARP表，然后在A与B上分别用ping命令与对方通信，记录实验显示结果。

用arp -a命令可以在两台PC上分别看到对方的MAC地址，记录A、B的MAC地址。

分析实验结果。

步骤2：将A的子网掩码改为：255.255.255.0，其他设置保持不变