ARP攻击实验报告

目录试验环境： (2)攻击原理： (4)预防方法测试： (6)检测及故障追踪方法： (8)总结： (8)ARP 攻防测试报告试验环境：1、拓扑图：2、拓扑说明：1）router 1为出口路由器，做NA T出局。

2）SW1为局域网交换机，做了端口镜像，把E0/1镜像到端口E0/24对攻击的数据做分析。

3）攻击机：IP 10.0.0.5 MAC: Giga-Byt_15:84:f3 (00:1d:7d:15:84:f3)4）受害机1：IP 10.0.0.4 MAC: Dell_c0:fc:55 (00:21:70:c0:fc:55)5）受害机2：IP 10.0.0.6 MAC：SamsungE_9c:25:d3 (00:13:77:9c:25:d3)6）网关：IP 10.0.0.1 MAC: Hangzhou_4b:bf:4a (00:0f:e2:4b:bf:4a)3、测试用软件：采用了目前常见的局域网攻击软件：网络守护神4.0.0.0，聚生网管2.1 。

经分析此2软件的做法基本雷同，因此文中不做特别的指出均表示此2软件。

4、相关路由交换配置：Router1:#sysname Router1#nat address-group 0 192.168.1.223 192.168.1.224#dhcp server ip-pool 1network 10.0.0.0 mask 255.255.255.0gateway-list 10.0.0.1dns-list 202.102.134.68 61.134.1.4#acl number 2000rule 0 permit source 10.0.0.0 0.0.0.255#interface Ethernet0/0ip address 192.168.1.222 255.255.255.0nat outbound 2000 address-group 0#interface Ethernet0/1ip address 10.0.0.1 255.255.255.0#ip route-static 0.0.0.0 0.0.0.0 192.168.1.1 preference 60SW1:#sysname SW1#acl number 4000rule 0 permit ingress interface Ethernet0/1 egress any rule 1 permit ingress any egress interface Ethernet0/1 #vlan 1#vlan 10#interface Vlan-interface1ip address 10.0.0.2 255.255.255.0#interface Ethernet0/1#interface Ethernet0/2#interface Ethernet0/3#interface Ethernet0/23port access vlan 10#interface Ethernet0/24#ip route-static 0.0.0.0 0.0.0.0 10.0.0.1 preference 60#mirrored-to link-group 4000 rule 0 interface Ethernet0/23mirrored-to link-group 4000 rule 1 interface Ethernet0/23攻击原理：1、攻击原理：ARP欺骗是采用大量的伪造网关的ARP reply报文来淹没真正的网关reply 报文来达到欺骗客户端的目的。

arp欺骗实验报告
ARP欺骗实验报告
在网络安全领域，ARP欺骗是一种常见的攻击手段，它利用ARP协议的漏洞来
欺骗网络设备，使其发送数据包到错误的目的地。

为了更好地了解ARP欺骗的
原理和影响，我们进行了一项实验。

实验步骤如下：
1. 准备工作：我们使用了一台路由器和两台电脑来搭建局域网环境。

其中一台
电脑作为攻击者，另一台电脑作为受害者。

2. ARP欺骗攻击：在攻击者电脑上，我们使用工具来发送伪造的ARP响应包，
将受害者电脑的IP地址映射到攻击者的MAC地址上。

3. 数据传输测试：在进行ARP欺骗攻击后，我们在受害者电脑上发送了一些数
据包，观察其传输情况。

实验结果如下：
1. 数据包丢失：在进行ARP欺骗攻击后，我们发现受害者电脑发送的数据包并
没有到达预期的目的地，而是被发送到了攻击者电脑上。

2. 网络混乱：由于ARP欺骗导致了数据包发送错误，整个局域网环境出现了混乱，部分数据包甚至丢失。

结论：
通过这次实验，我们深刻认识到ARP欺骗对网络的危害。

攻击者可以利用ARP
欺骗来窃取数据、监控通信内容甚至篡改数据，给网络安全带来了严重的威胁。

因此，我们呼吁网络管理员和用户加强对ARP欺骗攻击的防范意识，采取相应
的安全措施来保护网络安全。

同时，我们也希望厂商能够加强对ARP协议的安
全性设计，减少网络攻击的可能性。

首先使用“快照X”恢复Windows/Linux系统环境。

一．ARP欺骗攻击实验需求：（1）本实验使用交换网络结构（参见附录B），组一、二和三间通过交换模块连接（主机A、C、E通过交换模块连接，主机B、D、F也通过交换模块连接）。

因此，正常情况下，主机C无法以嗅探方式监听到主机A与主机E间通信数据，同样主机D也无法监听到主机B与主机F间的通信数据。

（2）主机C要监听主机A和主机E间的通信数据；主机D要监听主机B与主机F间的通信数据。

分析：黑客主机通过对目标主机进行ARP欺骗攻击，获取目标主机间的通信数据。

1．正常通信（1）目标主机二单击工具栏“UDP工具”按钮，启动UDP连接工具，创建2513/udp服务端。

（2）目标主机一启动UDP连接工具，将“目标机器”IP地址指定为目标主机二的地址，目标端口与服务器一致。

在“数据”文本框中输入任意内容，单击“发送”按钮，向服务端发送数据。

服务端确定接收到数据。

（3）黑客主机单击工具栏“控制台”按钮，切换至/opt/ExpNIS/NetAD-Lab/Tools/ids/目录（Snort目录），执行如下命令：通过上述命令snort仅会监听源IP地址为目标主机一的、传输协议类型为UDP的网络数据（4）目标主机一再次向目标主机二发送消息，黑客主机停止snort监听（Ctrl+C），观察snort监听结果，是否监听到目标主机间的通信数据。

为什么？没有监听到结果，目标主机不在同一个共享设备上，正常状态下目标主机一和二间的通信，黑客主机监听不到它们之间的信息。

（5）目标主机一查看ARP缓存表，确定与目标主机二的IP相映射的MAC 地址是否正常。

不正常，缓存表多出一行新的内容。

2．ARP攻击（1）黑客主机单击平台工具栏“控制台”按钮，进入实验目录，运行ARPattack 程序攻击目标主机一，将其ARP缓存表中与目标主机二相映射的MAC地址更改为黑客主机的MAC地址。

其中第一个参数为被攻击主机IP地址，第二个参数为被攻击主机MAC地址，第三个参数为与被攻击主机进行正常通信的主机IP地址。

首先使用“快照X”恢复Windows/Linux系统环境。

一．ARP欺骗攻击实验需求：（1）本实验使用交换网络结构（参见附录B），组一、二和三间通过交换模块连接（主机A、C、E通过交换模块连接，主机B、D、F也通过交换模块连接）。

因此，正常情况下，主机C无法以嗅探方式监听到主机A与主机E间通信数据，同样主机D也无法监听到主机B与主机F间的通信数据。

（2）主机C要监听主机A和主机E间的通信数据；主机D要监听主机B与主机F间的通信数据。

分析：黑客主机通过对目标主机进行ARP欺骗攻击，获取目标主机间的通信数据。

1．正常通信（1）目标主机二单击工具栏“UDP工具”按钮，启动UDP连接工具，创建2513/udp服务端。

（2）目标主机一启动UDP连接工具，将“目标机器”IP地址指定为目标主机二的地址，目标端口与服务器一致。

在“数据”文本框中输入任意内容，单击“发送”按钮，向服务端发送数据。

服务端确定接收到数据。

（3）黑客主机单击工具栏“控制台”按钮，切换至/opt/ExpNIS/NetAD-Lab/Tools/ids/目录（Snort目录），执行如下命令：通过上述命令snort仅会监听源IP地址为目标主机一的、传输协议类型为UDP的网络数据（4）目标主机一再次向目标主机二发送消息，黑客主机停止snort监听（Ctrl+C），观察snort监听结果，是否监听到目标主机间的通信数据。

为什么？没有监听到结果，目标主机不在同一个共享设备上，正常状态下目标主机一和二间的通信，黑客主机监听不到它们之间的信息。

（5）目标主机一查看ARP缓存表，确定与目标主机二的IP相映射的MAC 地址是否正常。

不正常，缓存表多出一行新的内容。

2．ARP攻击（1）黑客主机单击平台工具栏“控制台”按钮，进入实验目录，运行ARPattack 程序攻击目标主机一，将其ARP缓存表中与目标主机二相映射的MAC地址更改为黑客主机的MAC地址。

其中第一个参数为被攻击主机IP地址，第二个参数为被攻击主机MAC地址，第三个参数为与被攻击主机进行正常通信的主机IP地址。

arp攻击实验报告ARP攻击实验报告一、实验目的本实验旨在通过ARP攻击实验，了解ARP攻击的原理和方法，以及如何防范ARP攻击。

二、实验环境1. 虚拟机软件：VMware Workstation2. 操作系统：Kali Linux、Windows 10三、实验过程1. 首先，我们在Kali Linux上使用arpspoof工具进行ARP欺骗攻击，将目标主机（Windows 10）的ARP缓存中的MAC地址修改为攻击者的MAC地址。

2. 然后，我们在Windows 10上使用Wireshark抓包工具进行抓包分析，观察ARP攻击的效果和影响。

3. 最后，我们在Kali Linux上使用arpspoof工具进行ARP防御，将目标主机的ARP缓存中的MAC地址还原为正确的MAC地址。

四、实验结果通过实验我们发现，ARP攻击可以成功地将目标主机的ARP缓存中的MAC地址修改为攻击者的MAC地址，导致目标主机无法正常通信。

而使用arpspoof 工具进行ARP防御可以将目标主机的ARP缓存中的MAC地址还原为正确的MAC地址，恢复正常通信。

五、实验总结ARP攻击是一种常见的网络攻击手段，可以通过欺骗目标主机的ARP缓存来实现攻击。

为了防范ARP攻击，我们可以使用arpspoof工具进行ARP防御，将目标主机的ARP缓存中的MAC地址还原为正确的MAC地址。

同时，网络管理员还应该加强网络安全意识教育，定期检查和清理ARP缓存，以及部署防火墙、入侵检测系统等安全设备，从而有效地防范ARP攻击。

六、参考资料1. 《黑客攻防技术与实战》2. 《网络安全攻防实战指南》通过本次ARP攻击实验，我们对ARP攻击有了更深入的了解，并且掌握了一些防范ARP攻击的方法，希望能够为网络安全提供一些帮助。

ARP攻击的实现和分析首先，我们来看一下ARP攻击的原理。

ARP协议用于将IP地址转换为MAC地址，以便在网络中进行通信。

在正常情况下，当一个设备需要与网络中的另一个设备通信时，它会向网络中广播一个ARP请求，询问目标设备的MAC地址。

目标设备收到此请求后，会向发送设备回复一个ARP应答，其中包含了自己的MAC地址。

发送设备收到ARP应答后，会将目标设备的IP地址与其MAC地址绑定，并将此绑定关系存储在本地的ARP缓存中。

而ARP攻击则是通过伪造ARP请求和应答来欺骗网络设备，使其将通信的目标设备与攻击者的MAC地址绑定。

一旦攻击成功，攻击者就可以中间截取通信数据、劫持通信流量，甚至进行数据篡改和监听等恶意行为。

下面是ARP攻击的实现和分析，包括攻击步骤和攻击效果：1.攻击步骤：(1) 攻击者使用ARP欺骗工具伪造一个ARP请求或应答。

这个欺骗工具常用的有arpspoof、ettercap等。

(2)攻击者向网络中广播ARP请求，询问目标设备的MAC地址。

这个ARP请求的发送IP地址通常为攻击者自己的IP地址。

(3)目标设备收到ARP请求后，会将其ARP缓存中与该IP地址相对应的MAC地址更新为ARP请求中的MAC地址。

(4)攻击者收到目标设备的ARP应答后，将其中的目标设备的IP地址与自己的MAC地址绑定，并将这个欺骗的ARP应答发送给源设备。

(5)源设备接收到欺骗的ARP应答后，将目标设备的IP地址与攻击者的MAC地址绑定。

2.攻击效果：(1)中间人攻击：攻击者成功伪造了ARP请求和应答后，就可以将通信的目标设备与自己的MAC地址绑定。

这样，攻击者就成为了通信的中间人，可以截取通信数据、修改通信内容或进行流量劫持。

(2)数据丢失和泄露：通过ARP攻击，攻击者可以截取通信数据，造成数据丢失和信息泄露的风险。

(3)服务中断：如果攻击者将目标设备的IP地址与不存在的MAC地址绑定，就会导致目标设备无法正常进行网络通信，从而造成服务中断的影响。

《计算机网络安全》实验报告实验名称： arp欺骗提交报告时间：年月日一、实验目的程序实现ARP欺骗，对ARP欺骗进行进一步的认识并提出防范措施。

二、系统环境主机1 windows系统主机2 windows系统主机3 linux操作系统三、网络环境同一网段下的网络四、实验步骤与实验结果将主机A、C、E为一组，B、D、F为一组。

实验角色说明如下：实验主机实验角色主机A、B 目标主机一/Windows主机C、D 黑客主机/Linux主机E、F 目标主机二/Windows首先使用“快照X”恢复Windows/Linux系统环境。

一．ARP欺骗攻击实验需求：（1）本实验使用交换网络结构（参见附录B），组一、二和三间通过交换模块连接（主机A、C、E通过交换模块连接，主机B、D、F也通过交换模块连接）。

因此，正常情况下，主机C无法以嗅探方式监听到主机A与主机E间通信数据，同样主机D也无法监听到主机B与主机F间的通信数据。

（2）主机C要监听主机A和主机E间的通信数据；主机D要监听主机B与主机F间的通信数据。

分析：黑客主机通过对目标主机进行ARP欺骗攻击，获取目标主机间的通信数据。

1．正常通信图6-1-1 目标主机正常通信示意图（1）目标主机二单击工具栏“UDP工具”按钮，启动UDP连接工具，创建2513/udp服务端。

主机1发送数据（2）目标主机一启动UDP连接工具，将“目标机器”IP地址指定为目标主机二的地址，目标端口与服务器一致。

在“数据”文本框中输入任意内容，单击“发送”按钮，向服务端发数据。

服务端确定接收到数据。

主机2接收到数据（3）黑客主机单击工具栏“控制台”按钮，切换至/opt/ExpNIC/NetAD-Lab/Tools/ids 目录（Snort目录），命令如下：主机3通过上述命令snort仅会监听源IP地址为目标主机一的、传输协议类型为UDP的网络数据（详细的snort使用命令见实验10｜练习一）。

实验I ARP攻击的攻、判、防ARP攻击不是病毒—因而几乎所有的杀毒软件对之都无可奈何；但它却胜似病毒—因为它轻可造成通信变慢、网络瘫痪，重会造成信息的泄密。

多年来，ARP攻击一直存在，却没有一个好的解决办法。

很多网络用户深受其害，网管人员更是无从下手、苦不堪言。

本实验从分析ARP协议和欺骗原理入手，介绍如何实施ARP攻击，如何判断正在遭受ARP攻击，如何防范和解决ARP攻击。

1．ARP协议及欺骗原理（1）以太网的工作原理。

以太网中，数据包被发送出去之前，首先要进行拆分（把大的包进行分组）、封装（在Network层添加源IP地址和目标的IP地址，在Data Link层添加源MAC地址和下一跳的MAC地址），变成二进制的比特流，整个过程如图I-1所示。

数据包到达目标后再执行与发送方相反的过程，把二进制的比特流转变成帧，解封装（Data Link 层首先比较目标的MAC是否与本机网卡的MAC相同或者是广播MAC，如相同则去除帧头，再把数据包传给Network层，否则丢弃；Network层比较目的地IP地址是否与本机相同，相同则继续处理，否则丢弃）。

如果发送方和接收方位于同一个网络内，则下一跳的MAC就是目标的MAC，如发送方和接收方不在同一个网络内，则下一跳的MAC就是网关的MAC。

从这个过程不难发现，以太网中数据的传速仅知道目标的IP地址是不够的，还需要知道下一跳的MAC地址，这需要借助于另外一下协议，ARP（地址解析协议）。

2）ARP的工作原理。

计算机发送封装数据之前，对比目标IP地址，判断源和目标在不在同一个网段，如在同一网段，则封装目标的MAC；如不在同一网段，则封装网关的MAC。

封装之前，查看本机的ARP缓存，看有没有下一跳对应的IP和MAC映射条目，如有则直接封装；如没有则发送ARP查询包。

ARP查询和应答包的格式如图I-2所示，查询包中“以太网目的地址”为0xffffffffffff广播地址，“以太网源地址”为本机网卡的MAC地址，“帧类型”为0x0806表示ARP应答或请求，“硬件类型”为0x0001表示以太网地址，“协议类型”为0x0800表示IP地址，“OP”为ARP的请求或应答，ARP请求包的OP值为1，ARP 应答包的OP值为2，“发送端以太网地址”为发送者的MAC地址，“发送端IP”为发送者的IP地址，“目的以太网地址”这里为0x000000000000，“目的IP”为查询MAC地址的IP。