arp病毒检测实验步骤

实验I ARP攻击的攻、判、防ARP攻击不是病毒——几乎所有的杀毒软件对之都无可奈何；但却胜似病毒——因它轻可造成通信变慢、网络瘫痪，重会造成信息的泄密。

多年来，ARP攻击一直存在，却没有一个好的解决办法。

很多网络用户深受其害，网管人员更是无从下手、苦不堪言。

本实验从分析ARP协议和欺骗原理入手，告诉读者如何实施ARP攻击，如何判断正在遭受ARP 攻击，如何防范和解决ARP攻击。

1. ARP协议及欺骗原理（1）以太网的工作原理。

以太网中，数据包被发送出去之前，首先要进行拆分（把大的包进行分组）、封装（在Network层添加源IP地址和目标的IP地址，在Data Link层添加源MAC地址和下一跳的MAC地址），变成二进制的比特流，整个过程如图I-1所示。

数据包到达目标后再执行与发送方相反的过程，把二进制的比特流转变成帧，解封装（Data Link层首先比较目标的MAC是否与本机网卡的MAC相同或者是广播MAC，如相同则去除帧头，再把数据包传给Network层，否则丢弃；Network层比较目的地IP地址是否与本机相同，相同则继续处理，否则丢弃）。

如果发送方和接收方位于同一个网络内，则下一跳的MAC就是目标的MAC，如发送方和接收方不在同一个网络内，则下一跳的MAC就是网关的MAC。

从这个过程不难发现，以太网中数据的传速仅知道目标的IP地址是不够的，还需要知道下一跳的MAC地址，这需要借助于另外一下协议，ARP（地址解析协议）。

图I-1 数据的封装和解封装（2）ARP的工作原理。

计算机发送封装数据之前，对比目标IP地址，判断源和目标在不在同一个网段，如在同一网段，则封装目标的MAC；如不在同一网段，则封装网关的MAC。

封装之前，查看本机的ARP缓存，看有没有下一跳对应的IP和MAC映射条目，如有，则直接封装；如没有，则发送ARP查询包。

ARP查询和应答包的格式如图I-2所示，查询包中：“以太网目的地址”为0xffffffffffff广播地址，“以太网源地址”为本机网卡的MAC地址，“帧类型”为0x0806表示ARP应答或请求，“硬件类型”为0x0001表示以太网地址，“协议类型”为0x0800表示IP地址，“OP”为ARP的请求或应答，ARP请求包的OP值为1，ARP应答包的OP值为2，“发送端以太网地址”为发送者的MAC地址，“发送端IP”为发送者的IP地址，“目的以太网地址”这里为0x000000000000，“目的IP”为查询MAC地址的IP。

实验一ARP验证(H3C)7.1实验内容与目标完成本实验，您应该能够：●掌握ARP的工作机制●掌握ARP代理的工作原理及配置方法7.2实验组网图图7-1ARP实验组网图7.3实验设备与版本本实验所需之主要设备器材如表7-1所示。

表7-1设备列表名称和型号版本数量描述CMW5.20-R1618P13,1MSR30-20StandardPC Windows XP SP22第5类UTP以太网连接线--2互连主机与路由器的交叉线7.4实验过程实验任务一：ARP表项观察本实验通过观察设备上的ARP表项建立过程，使学生能够了解ARP协议的基本工作原理。

步骤一：建立物理连接按照图7-1进行连接，并检查设备的软件版本及配置信息，确保各设备软件版本符合要求，所有配置为初始状态。

如果配置不符合要求，请读者在用户模式下擦除设备中的配置文件，然后重启设备以使系统采用缺省的配置参数进行初始化。

以上步骤可能会用到以下命令：<RTA>display version<RTA>reset saved-configuration<RTA>reboot步骤二：配置PC及路由器的IP地址表7-2IP地址列表设备名称接口IP地址PCA--172.16.0.1/24PCB--172.16.1.1/24RTA G0/0172.16.0.254/24RTA G0/1172.16.1.254/24根据上表所示在PC上配置IP地址和网关。

配置完成后，在PC的“命令提示符”窗口下，键入命令“ipconfig”来验证PC的IP地址是否配置正确。

PCA的结果应该如下所示：C:\Documets and Settings>ipconfigWindows IP ConfigurationEthernet adapter本地连接:Connection-specific DNS Suffix.:IP Address………………………….:172.16.0.1Subnet Mask………………………….:255.255.255.0Default Gateway……………………:PCB的结果应该如下所示：C:\Documets and Settings>ipconfigWindows IP ConfigurationEthernet adapter本地连接:Connection-specific DNS Suffix.:IP Address………………………….:172.16.1.1Subnet Mask………………………….:255.255.255.0Default Gateway……………………:然后在RTA的接口上配置IP地址及掩码，如下：[RTA]interface GigabitEthernet0/0[RTA-GigabitEthernet0/0]ip address172.16.0.25424[RTA]interface GigabitEthernet0/1[RTA-GigabitEthernet0/1]ip address172.16.1.25424步骤三：查看ARP信息首先，我们在RTA及PCA、PCB上用命令来查看它们的IP地址和MAC地址。

重庆理工大学计算机学院实验报告书课程名称：《TCP/IP原理及应用》实验题目：实验二实验名称：ARP协议分析班级：392学号：************名：***5. 实验过程及结果记录（1）实验设备和连接实验设备和连接图如图所示，一台交换机连接了2 台PC 机，分别命名为PC1、PC2，交换机命名为Switch。

图ARP 协议分析实验连接图（2）实验分组每两名同学为一组，其中每两人一小组，每小组各自独立完成实验。

（3）实验步骤1～7的操作步骤1：按照如图所示连接好设备，查看PC1 和PC2 的IP 地址；步骤2：在PC1、PC2 两台计算机上执行如下命令，清除ARP 缓存：ARP –d步骤3：在PC1、PC2 两台计算机上执行如下命令，查看高速缓存中的ARP 地址映射表的内容：ARP –a （对相应结果截图）步骤 4：在PC1 和 PC2 上运行 Ethereal 截获报文，为了截获和实验内容有关的报文， Ethereal 的Captrue Filter 的混杂模式的勾去掉；步骤5：在主机PC1 上执行message服务用net send向PC2 发送消息；步骤6：执行完毕，对截获的数据包进行筛选ARP报文；步骤7：在PC1、PC2 两台计算机上再次执行ARP –a 命令，查看高速缓存中的ARP 地址映射表的内容（对相应结果截图）。

、（4）根据以上操作步骤回答问题：步骤3和步骤7的执行ARP –a命令结果内容相同吗（附上截图）？结合两次看到的结果，理解ARP缓冲区的作用。

在步骤6中截获的报文中有几个ARP报文？在以太帧中，ARP协议类型的代码值是什么？对步骤6中截获的报文进行分析：ARP 报文分析ARP 请求报文ARP 应答报文字段报文信息及参数字段报文信息及参数硬件类型Ethernet（0x0001）硬件类型Ethernet（0x0001）协议类型Ip（0x0800）协议类型Ip（0x0800）硬件地址长度 6 硬件地址长度 6协议地址长度 4 协议地址长度 4操作Request（0x0001）操作Reply(0x0002)。

ARP 病毒的检测方法ARP 病毒的检测方法方法一，用户自查法1. 同时按住键盘上的―Ctrl+ Alt+Del‖键，选择―任务管理器‖，单击―进程‖标签，查看其中是否有一个名为―MIR0.dat‖进程。

如果有，说明已经中毒。

右键点击此进程后, 选择―结束进程‖命令。

2. 如果用户突然发现无法上网，可以通过如下方法验证是否感染此木马病毒：（1）单击―开始→运行‖，输入―cmd‖，再输入―arp-d‖，回车。

（2）重新尝试上网，若能短暂正常访问，则说明此次断网是受木马病毒影响。

该病毒发作后，在系统进程列表中会有―MIR0.dat‖这个进程存在，可通过直接结束进程的方法解决。

方法二，基层定位法1. 因所有基层单位都是通过三层交换机设备接入城域网的，因此可以通过检查其三层交换机设备上的ARP 表来进行定位。

如果发现有多个IP 地址对应同一个MAC 地址，则说明此MAC 地址对应的计算机很可能中了ARP 木马病毒。

可通过下连的二层交换机的转发表查到此MAC 地址对应的交换机端口，从而定位出有问题的计算机，关闭此端口，通知终端用户查杀病毒结束后再开放端口。

2. 让基层单位网络管理员扫描本子网内的全部IP 地址，然后再查ARP 表。

如果有一个IP地址对应的MAC地址与网关的MAC 地址相同，那么这个IP 地址和MAC地址就是中毒计算机的IP 地址和MAC 地址。

方法三, 端口镜像抓包分析法笔者所在的教育城域网通过NAT 转换的方式连接到互联网，所以在中心交换机上将内网口进行了端口镜像，利用Sniffer 进行抓包分析，凡大量发送ARP 请求的均可能是此木马感染者。

一经发现，立即关闭此端口，并通过交换端口确定上网用户，通知用户查杀病毒，直至确认无毒后再开放端口。

处理方案1. 静态ARP 绑定网关步骤一：在能正常上网时，进入MS-DOS 窗口，输入命令―arp-a‖，查看网关IP 对应的正确MAC 地址，并将其记录下来。

arp欺骗实验报告
ARP欺骗实验报告
在网络安全领域，ARP欺骗是一种常见的攻击手段，它利用ARP协议的漏洞来
欺骗网络设备，使其发送数据包到错误的目的地。

为了更好地了解ARP欺骗的
原理和影响，我们进行了一项实验。

实验步骤如下：
1. 准备工作：我们使用了一台路由器和两台电脑来搭建局域网环境。

其中一台
电脑作为攻击者，另一台电脑作为受害者。

2. ARP欺骗攻击：在攻击者电脑上，我们使用工具来发送伪造的ARP响应包，
将受害者电脑的IP地址映射到攻击者的MAC地址上。

3. 数据传输测试：在进行ARP欺骗攻击后，我们在受害者电脑上发送了一些数
据包，观察其传输情况。

实验结果如下：
1. 数据包丢失：在进行ARP欺骗攻击后，我们发现受害者电脑发送的数据包并
没有到达预期的目的地，而是被发送到了攻击者电脑上。

2. 网络混乱：由于ARP欺骗导致了数据包发送错误，整个局域网环境出现了混乱，部分数据包甚至丢失。

结论：
通过这次实验，我们深刻认识到ARP欺骗对网络的危害。

攻击者可以利用ARP
欺骗来窃取数据、监控通信内容甚至篡改数据，给网络安全带来了严重的威胁。

因此，我们呼吁网络管理员和用户加强对ARP欺骗攻击的防范意识，采取相应
的安全措施来保护网络安全。

同时，我们也希望厂商能够加强对ARP协议的安
全性设计，减少网络攻击的可能性。

网络入侵实验报告学号：0867010077姓名：***一．实验目的：1、了解基本的网络攻击原理和攻击的主要步骤；2、掌握网络攻击的一般思路；3、了解arp攻击的主要原理和过程；二．实验原理：arp攻击就是通过伪造ip地址和mac地址实现arp欺骗，能够在网络中产生大量的arp通信量使网络阻塞，攻击者只要持续不断的发出伪造的arp响应包就能更改目标主机arp缓存中的ip-mac条目，造成网络中断或中间人攻击。

arp攻击主要是存在于局域网网络中，局域网中若有一台计算机感染arp木马，则感染该arp木马的系统将会试图通过“arp欺骗”手段截获所在网络内其它计算机的通信信息，并因此造成网内其它计算机的通信故障。

某机器a要向主机b发送报文，会查询本地的arp缓存表，找到b的ip地址对应的mac地址后，就会进行数据传输。

如果未找到，则a广播一个arp请求报文（携带主机a的ip地址ia——物理地址pa），请求ip地址为ib的主机b回答物理地址pb。

网上所有主机包括b都收到arp请求，但只有主机b识别自己的ip地址，于是向a主机发回一个arp响应报文。

其中就包含有b的mac地址，a接收到b的应答后，就会更新本地的arp缓存。

接着使用这个mac地址发送数据（由网卡附加mac地址）。

因此，本地高速缓存的这个arp表是本地网络流通的基础，而且这个缓存是动态的。

本实验的主要目的是在局域网内，实施arp攻击，使局域网的网关失去作用，导致局域网内部主机无法与外网通信。

三．实验环境：windows xp操作系统，iris抓包软件四．实验步骤：1，安装iris，第一次运行iris后会出现一个要你对适配器的选择的界面，点击适配器类型，点击确定就可以了：如图1-1；图1-1 2对编辑过滤器进行设置（edit filter settings），设置成包含arp 如图1-2；图1-2 3.点击iris的运行按钮（那个绿色的按钮）,或捕获（capture）按钮。

如何能够快速检测定位出局域网中的ARP病毒电脑？面对着局域网中成百台电脑，一个一个地检测显然不是好办法。

其实我们只要利用ARP 病毒的基本原理：发送伪造的ARP欺骗广播，中毒电脑自身伪装成网关的特性，就可以快速锁定中毒电脑。

识别ARP可以设想用程序来实现以下功能：在网络正常的时候，牢牢记住正确的网关IP地址和MAC地址，并且实时监控来自全网的ARP数据包。

当发现有某个ARP数据包广播，来自正确网关IP地址其MAC地址竟然是其它电脑的MAC地址的时候，ARP欺骗发生了。

对此可疑MAC地址报警，在根据网络正常时候的IP－MAC地址对照表查询该电脑，定位出其IP地址，这样就定位出中毒电脑了。

一般情况下，被ARP被攻击后，局域网内会出现以下两种现象：1、不断弹出―本机的XXX段硬件地址与网络中的XXX段地址冲突‖的对话框。

2、计算机不能正常上网，出现网络中断的症状。

很多管理员认为有高级功能防火墙，可以得到相应的保护，恰恰相反，防火墙会误以为这是正常的请求数据包，不予拦截。

由此而见，需要我们找到问题根源，找到源头，才能真正解决问题所在。

当你的局域网内出现上面症状后，根据局域网大小，方可使用以下三种方法来检测ARP中毒电脑：检测ARP攻击一、工具软件法：网上已经有很多ARP病毒定位工具软件，目前网络中做得较好的是ARP防火墙。

打开ARP防火墙，输入网关IP地址后，再点击红色框内的―枚举MAC‖按钮，即可获得正确网关的MAC地址，接着点击―自动保护‖按钮，即可保护当前网卡与网关的正常通信。

当局域网中存在ARP欺骗时，该数据包会被Anti ARP Sniffer记录，该软件会以气泡的形式报警。

这时，我们再根据欺骗机的MAC地址，对比查找全网的IP－MAC地址对照表，即可快速定位出中毒电脑。

二、命令行法：在受影响的电脑中查询一下当前网关的MAC地址，就知道中毒电脑的MAC地址了，在cmd命令提示行下输入查询命令为arp －a。