局域网内ARP欺骗的防御与MAC地址绑定的分析

龙源期刊网 https://www.sodocs.net/doc/0e16029425.html,

局域网内ARP欺骗的防御与MAC地址绑定的分析

作者：杨宏伟

来源：《经济研究导刊》2010年第08期

摘要:对校园局域网频繁发生的ARP欺骗的问题进行论证,通过网管等实际生活中的例子加以解释,介绍几种常见的ARP欺骗和攻击方式以及与MAC地址绑定的种种结合方式,并且从客户端、网关等多个方面提出关于如何防御ARP攻击的多种方法,以达到全面防御、维护局域网络安全的目的。

关键词:地址解析协议;ARP欺骗;MAC地址绑定;网络安全

中图分类号:TP39 文献标志码:A文章编号:1673-291X(2010)08-0254-02

一、ARP与MAC

ARP(Address Resolution Protocol)是地址解析协议的简称,是一种将IP地址转化为物理地址的协议。在OSI网络参考模型的第二层(数据链路层)中,存在着两个子层:介质访问控制(MAC)

和逻辑链路控制(LLC)。由 MAC子层提供的最广为认知的服务或许就是它的地址了,就像以太网的地址一样。在以太网中,数据传输的目的地址和源地址的正式名称是MAC地址。此地址大多数情况下是独一无二的固化到硬件设备上的,而IP地址所要转化的物理地址就是MAC地址。

在网络数据传输中实际传输的是“帧”(Frame),它以比特流的方式通过传输介质传输出去,其中,帧里面就包含有所要传送的主机的MAC地址。在以太网中,一台主机要同另一台主机进行

通信,就必须要知道对方的MAC地址。但是,我们如何知道这个MAC地址呢?这时就用到了地址解析协议。所谓“地址解析”,就是主机在发送帧前将目标IP地址转换成目标MAC地址的过程。ARP协议的基本功能就是通过目标设备的IP地址,查询目标设备的MAC地址,以保证通信的顺利进行。每台安装有TCP/IP协议的计算机主机里都有一个ARP缓存表,表中的IP地址与MAC地址是一一对应的,如下表所示:

实验二 ARP欺骗实验

实验二ARP欺骗实验 【实验目的】 加深对ARP高速缓存的理解 了解ARP欺骗在网络攻击中的应用 【实验原理】 ARP欺骗是黑客常用的攻击手段之一，ARP欺骗分为二种，一种是对路由器ARP表的欺骗；另一种是对内网PC的网关欺骗。 第一种ARP欺骗的原理是——截获网关数据。它通过发送ARP应答包通知路由器一系列错误的内网MAC地址，并按照一定的频率不断进行，使真实的地址信息无法通过更新保存在路由器中，结果路由器的所有数据只能发送给错误的MAC地址，造成正常PC无法收到信息。第二种ARP欺骗的原理是——伪造网关。它的原理是建立假网关，让被它欺骗的PC向假网关发数据，而不是通过正常的路由器途径上网。在PC看来，就是上不了网了，―网络掉线了‖。 ARP表是IP地址和MAC地址的映射关系表，任何实现了IP协议栈的设备，一般情况下都通过该表维护IP地址和MAC地址的对应关系，这是为了避免ARP 解析而造成的广播数据报文对网络造成冲击。 【实验环境】 需要使用协议编辑软件进行数据包编辑并发送；IP地址分配参考如下表所示。 设备IP地址Mac地址后缀 HostA 10.28.23.112 44-37-e6-10-77-81 HostB 10.28.23.168 28-92-4a-56-15-c2 设备连接即两台个人电脑。

【实验内容】 搭建网络实现ARP地址欺骗过程 防范ARP地址欺骗 【实验步骤】 一、设定环境(在实验中应根据具体实验环境进行实验) (1)根据环境拓扑图设定网络环境，并测试连通性。 (2)需要使用协议编辑软件进行数据包编辑并发送。 二、主机欺骗 (1)获得设定网络中各主机的IP地址和MAC地址，Ping网关。如图2-1、图 2-2 图2-1 图2-2

网络ARP欺骗的类型与防范方法

ARP欺骗，是针对以太网地址解析协议（ARP）的一种攻击技术。此种攻击可让攻击者取得局域网上的数据封包甚至可篡改封包，且可让网络上特定计算机或所有计算机无法正常连接，对局域网的安全性与稳定性有比较强的破坏力。 ARP概念 1.ARP欺骗原理： 黑客C经过收到A发出的ARP Request广播报文，能够偷听到A的 (IP, MAC) 地址, 黑客C就伪装为B，告诉A (受害者) 一个假MAC地址（这个假地址是C的MAC地址），使得A在发送给B的数据包都被黑客C截取，而A, B 浑然不知。 2.欺骗种类： 1、截获网关发出的数据。 欺骗源通过ARP报文通知网关一系列错误的内网MAC-IP地址关系，并按照一定的频率不断进行，使网关的ARP缓存表中不能保存正常的地址信息中，结果网关的所有数据只能发送给错误的MAC地址，造成正常PC无法收到信息。 2、伪造网关 欺骗源把自己伪装成网关，向局域网内的主机发送ARP应答或免费ARP报文。使得局域网内的主机误以为欺骗源的MAC是网关MAC地址。使得原本流向网关的数据都被错误地发送到欺骗源。 3、伪造主机 欺骗源C把自己伪装成局域网内的另一台主机B，使得局域网内发往B的报文都流向了C。 伪造主机的过程与伪造网关类似。 3.防范技术： 1、在网关和主机上设备静态ARP表项，这样欺骗ARP报文携带的信息与静态表项不同， 会被忽略。 仅适合于小规模局域网，不适合于DHCP。 2、在交换机上限制每个端口的ARP表项数量。端口上仅能够学习有限数量的ARP表项。 如果设置为1，则只允许一个ARP表项被学习，伪装的MAC地址就无法通过交换机。对上述[欺骗种类1]比较有较。 3、与DHCP结合。DHCP snooping的过程中，会建立DHCP表项，主机的的IP以及用户 MAC、VID、PORT、租约时间等信息组成用户记录表项，从而形成DHCP Snooping 的用户数据库。DHCP可以很清楚地知道给哪个MAC分配了哪个IP。 交换机收到ARP报文时，将收到ARP报文的源IP、源MAC、端口号、VLAN ID信息同DHCP-Snooping数据库的用户信息进行匹配。如果一致则认为合法ARP报文，按既有流程处理；否则视为非法ARP报文，丢弃处理。 4、在交换机端收集所有ARP报文信息，一但MAC和对应的IP有变动，发出警告。

arp欺骗原理及处理办法

故障原因 主要原因是在局域网中有人使用了ARP欺骗的木马程序,比如一些盗号的软件。 传奇外挂携带的ARP木马攻击,当局域网内使用外挂时，外挂携带的病毒会将该机器的MAC 地址映射到网关的IP地址上，向局域网内大量发送ARP包，致同一网段地址内的其它机器误将其作为网关，掉线时内网是互通的，计算机却不能上网。方法是在能上网时，进入MS-DOS窗口，输入命令：arp –a查看网关IP对应的正确MAC地址，将其记录，如果已不能上网，则先运行一次命令arp –d将arp缓存中的内容删空，计算机可暂时恢复上网，一旦能上网就立即将网络断掉，禁用网卡或拔掉网线，再运行arp –a。 如已有网关的正确MAC地址，在不能上网时，手工将网关IP和正确MAC绑定，可确保计算机不再被攻击影响。可在MS-DOS窗口下运行以下命令：arp –s 网关IP 网关MAC。如被攻击，用该命令查看，会发现该MAC已经被替换成攻击机器的MAC，将该MAC记录，以备查找。找出病毒计算机：如果已有病毒计算机的MAC地址，可使用NBTSCAN软件找出网段内与该MAC地址对应的IP，即病毒计算机的IP地址。 故障现象 当局域网内有某台电脑运行了此类ARP欺骗的木马的时候，其他用户原来直接通过路由器上网现在转由通过病毒主机上网，切换的时候用户会断一次线。 切换到病毒主机上网后，如果用户已经登陆了传奇服务器，那么病毒主机就会经常伪造断线的假像，那么用户就得重新登录传奇服务器，这样病毒主机就可以盗号了。 由于ARP欺骗的木马发作的时候会发出大量的数据包导致局域网通讯拥塞，用户会感觉上网速度越来越慢。当木马程序停止运行时，用户会恢复从路由器上网，切换中用户会再断一次线。 该机一开机上网就不断发Arp欺骗报文，即以假冒的网卡物理地址向同一子网的其它机器发送Arp报文，甚至假冒该子网网关物理地址蒙骗其它机器，使网内其它机器改经该病毒主机上网，这个由真网关向假网关切换的过程中其它机器会断一次网。倘若该病毒机器突然关机或离线，则其它机器又要重新搜索真网关，于是又会断一次网。所以会造成某一子网只要有一台或一台以上这样的病毒机器，就会使其他人上网断断续续，严重时将使整个网络瘫痪。这种病毒（木马）除了影响他人上网外，也以窃取病毒机器和同一子网内其它机器上的用户帐号和密码（如QQ和网络游戏等的帐号和密码）为目的，而且它发的是Arp报文，具有一定的隐秘性，如果占系统资源不是很大，又无防病毒软件监控，一般用户不易察觉。这种病毒开学初主要发生在学生宿舍，据最近调查，现在已经在向办公区域和教工住宅区域蔓延，而且呈越演越烈之势。 经抽样测试，学校提供的赛门铁克防病毒软件企业版10.0能有效查杀已知的Arp欺骗病毒（木马）病毒。恶意软件由于国际上未有明确界定，目前暂无一款防病毒软件能提供100%杜绝其发作的解决方案，需要借助某些辅助工具进行清理。 解决思路 不要把你的网络安全信任关系建立在IP基础上或MAC基础上。 设置静态的MAC-->IP对应表，不要让主机刷新你设定好的转换表。

ARP欺骗攻击技术及其防范方法

校园网中的ARP欺骗的分析与防御研究一、什么是ARP协议 要想了解ARP欺骗攻击的原理，首先就要了解什么是ARP协议。ARP是地址转换协议的英文缩写，它是一个链路层协议，工作在OSI模型的第二层，在本层和硬件接口间进行联系，同时为上层（网络层）提供服务。 我们知道，二层的以太网交换设备并不能识别32位的IP地址，它们是以48位以太网地址（就是我们常说的MAC地址）传输以太网数据包的。因此IP地址与MAC地址之间就必须存在一种对应关系，而ARP协议就是用来确定这种对应关系的协议。 ARP工作时，首先请求主机发送出一个含有所希望到达的IP地址的以太网广播数据包，然后目标IP的所有者会以一个含有IP和MAC地址对的数据包应答请求主机。这样请求主机就能获得要到达的IP地址对应的MAC地址，同时请求主机会将这个地址对放入自己的ARP表缓存起来，以节约不必要的ARP通信。ARP 缓存表采用了老化机制，在一段时间内如果表中的某一行没有使用（Windows系统这个时间为2分钟，而Cisco路由器的这个时间为5分钟），就会被删除。通过下面的例子我们可以很清楚地看出ARP的工作机制。 假定有如下五个IP地址的主机或者网络设备，它们分别是： 主机A 192.168.1.2 主机B 192.168.1.3 网关C 192.168.1.1 主机D 10.1.1.2 网关E 10.1.1.1 假如主机A要与主机B通信，它首先会检查自己的ARP缓存中是否有192.168.1.3这个地址对应的MAC地址，如果没有它就会向局域网的广播地址发送ARP请求包，大致的意思是192.168.1.3的MAC地址是什么请告诉192.168.1.2，而广播地址会把这个请求包广播给局域网内的所有主机，但是只有192.168.1.3这台主机才会响应这个请求包，它会回应192.168.1.2一个ARP 包，大致的意思是192.168.1.3的MAC地址是02-02-02-02-02-02。这样的话主机A就得到了主机B的MAC地址，并且它会把这个对应的关系存在自己的ARP 缓存表中。之后主机A与主机B之间的通信就依靠两者缓存表里的MAC地址来通信了，直到通信停止后2分钟，这个对应关系才会从表中被删除。 再来看一个非局域网内部的通信过程。假如主机A需要和主机D进行通信，它首先会发现这个主机D的IP地址并不是自己同一个网段内的，因此需要通过网关来转发，这样的话它会检查自己的ARP缓存表里是否有网关192.168.1.1对应的MAC地址，如果没有就通过ARP请求获得，如果有就直接与网关通信，然后再由网关C通过路由将数据包送到网关E，网关E收到这个数据包后发现是送给主机D（10.1.1.2）的，它就会检查自己的ARP缓存，看看里面是否有10.1.1.2对应的MAC地址，如果没有就使用ARP协议获得，如果有就是用该MAC地址与主机D通信。 通过上面的例子我们知道，在以太局域网内数据包传输依靠的是MAC地址，IP地址与MAC对应的关系依靠ARP表，每台主机（包括网关）都有一个ARP缓

ARP欺骗 -攻击原理和防范

ARP欺骗/ MITM(Man-In-The-Middle)攻击原理和防范 一、MITM(Man-In-The-Middle) 攻击原理 按照 ARP 协议的设计，为了减少网络上过多的 ARP 数据通信，一个主机，即使收到的 ARP 应答并非自己请求得到的，它也会将其插入到自己的 ARP 缓存表中，这样，就造成了“ ARP 欺骗”的可能。如果黑客想探听同一网络中两台主机之间的通信（即使是通过交换机相连），他会分别给这两台主机发送一个 ARP 应答包，让两台主机都“误”认为对方的 MAC 地址是第三方的黑客所在的主机，这样，双方看似“直接”的通信连接，实际上都是通过黑客所在的主机间接进行的。黑客一方面得到了想要的通信内容，另一方面，只需要更改数据包中的一些信息，成功地做好转发工作即可。在这种嗅探方式中，黑客所在主机是不需要设置网卡的混杂模式的，因为通信双方的数据包在物理上都是发送给黑客所在的中转主机的。 这里举个例子，假定同一个局域网内，有 3 台主机通过交换机相连： A 主机： IP 地址为 192.168.0.1 ， MAC 地址为 01:01:01:01:01:01 ； B 主机： IP 地址为 192.168.0.2 ， MA C 地址为 02:02:02:02:02:02 ； C 主机： IP 地址为 192.168.0.3 ， MAC 地址为 03:03:03:03:03:03 。 B 主机对 A 和 C 进行欺骗的前奏就是发送假的 ARP 应答包，如图所示 在收到 B主机发来的ARP应答后，A主机应知道： 到 192.168.0.3 的数据包应该发到 MAC 地址为 020********* 的主机； C 主机也知道：到 192.168.0.1 的数据包应该发到 MAC 地址为 020********* 的主机。这样， A 和 C 都认为对方的 MAC 地址是 020********* ，实际上这就是 B 主机所需得到的结果。当然，因为 ARP 缓存表项是动态更新的，其中动态生成的映射有个生命期，一般是两分钟，如果再没有新的信息更新， ARP 映射项会自动去除。所以， B 还有一个“任务”，那就是一直连续不断地向 A 和 C 发送这种虚假的 ARP 响应包，让其 ARP缓存中一直保持被毒害了的映射表项。 现在，如果 A 和 C 要进行通信，实际上彼此发送的数据包都会先到达 B 主机，这时，如果 B 不做进一步处理， A 和 C 之间的通信就无法正常建立， B 也就达不到“嗅探”通信内容的目的，因此， B 要对“错误”收到的数据包进行一番修改，然后转发到正确的目的地，而修改的内容，无非是将目的 MAC 和源MAC 地址进行替换。如此一来，在 A 和 C 看来，彼此发送的数据包都是直接到达对方的，但在 B 来看，自己担当的就是“第三者”的角色。这种嗅探方法，

使用Sniffer进行ARP地址欺骗

使用Sniffer进行ARP地址欺骗 声明：本实验教程仅限于学习用，不能用于其他非法用途，否则后果自负。 1、实验目的 1、掌握常见ARP欺骗类型和手段 2、掌握ARP协议工作原理和格式 3、掌握防范ARP地址欺骗的方法和措施 4、掌握Sniffer Pro软件的使用 2、实验环境 硬件：交换机1 台、路由器1台、计算机数台 软件：Sinfffer pro 3、参考文档 Plummer RFC826定义了ARP标准 Clark RFC 814一般性讨论了ARP地址及绑定 Parr RFC的内容涉及容错地址转换 Malkin RFC提出了UNARP Laubach RFC 1577讨论了非广播网络中得ARP PDF 文件使用 "pdfFactory Pro" 试用版本创建https://www.sodocs.net/doc/0e16029425.html, Heinaen和Govindan RFC1735 对上进行了进一步的讨论 W.Richard Stenvens TCP/IP协议详解卷1：协议 [日]村上公保 TCP/IP网络实验程序篇科学出版社 4、实验原理 数据封装过程 1)、ARP协议简介 ARP(Address Resolve Protocol)地址请求解析协议，用于寻找和IP 地址相对应的MAC 地址。在RFC 826中定义了ARP协议的数据格式和类型。ARP协议属于在网络层的下部， 可看作为网络层和数据链路层的接口，主要用于IPv4以太网。

ARP消息类型有2 种： ARP request ：ARP 请求 ARP response ： ARP应答ARP协议格式 ARP 报文中各字段的意义 硬件类型：以太网接口类型为1 协议类型：IP协议类型为080016 操作：ARP请求为1，ARP应答为2 硬件地址长度：MAC地址长度为6B

Cisco环境下解决ARP欺骗的两种技术

Cisco环境下解决ARP欺骗的两种技术 https://www.sodocs.net/doc/0e16029425.html, 2008-09-05 12:58 佚名 IT168 我要评论(2) ?摘要：ARP欺骗原理简单，利用的是免费ARP来达到欺骗主机上面的网关arp表项。这里介绍cisco 环境下解决ARP欺骗的2个技术：dhcp snooping和ARP inspection。 ?标签：ARP网关欺骗Cisco ? Oracle帮您准确洞察各个物流环节网上有好多求助ARP病毒防范办法，其实ARP欺骗原理简单，利用的是ARP协议的一个“缺陷”，免费ARP来达到欺骗主机上面的网关的arp表项的。 免费ARP当时设计出来是为了2个作用的： 1.IP地址冲突检测 2.ARP条目自动更新，更新网关。 arp欺骗就是利用这里面的第二条，攻击的主机发送一个arp更新，条目的ip地址是网关，但是mac地址一项，却不是网关，当其他主机接受到，会根据arp协议的规则，越新的越可靠的原则，达到欺骗的目的。虽然arp不是tcp/ip协议簇中的一员，但是鉴于以太网的大行其道，所以放弃动态ARP协议，使用手动方式的来来做arp映射，好像不大现实（个别情况除外）。 介绍下cisco网络环境下解决这个问题的思路： 其实这里面使用到了2个技术：dhcp snooping和ARP inspection 一.dhcp snooping DHCP Snooping技术是DHCP安全特性，通过建立和维护DHCP Snooping绑定表过滤不可信任的DHCP信息，这些信息是指来自不信任区域的DHCP信息。DHCP Snooping绑定表包含不信任区域的用户MAC地址、IP地址、租用期、VLAN-ID 接口等信息。 当交换机开启了DHCP-Snooping后，会对DHCP报文进行侦听，并可以从接收到的DHCP Request或DHCP Ack报文中提取并记录IP地址和MAC地址信息。另外， DHCP-Snooping允许将某个物理端口设置为信任端口或不信任端口。信任端口可以正常接收并转发DHCP Offer报文，而不信任端口会将接收到的DHCP Offer报文丢弃。这样，可以完成交换机对假冒DHCP Server的屏蔽作用，确保客户端从合法的DHCP Server获取IP 地址。 作用： 1.dhcp-snooping的主要作用就是隔绝非法的dhcp server，通过配置非信任端口。

实验三：ARP欺骗工具及原理分析

实验三：ARP欺骗工具及原理分析 一、实验目的 1.熟悉ARP欺骗攻击工具的使用 2.熟悉ARP欺骗防范工具的使用 3.熟悉ARP欺骗攻击的原理 二、实验准备 1.要求实验室内网络是连通的，组内每台计算机均可以访问另外一台计算机。 2.下载相关工具和软件包(ARP攻击检测工具，局域网终结者，网络执法官，ARPsniffer 嗅探工具)。 三、实验说明 本实验所介绍的工具软件使用起来都比较方便，操作起来也不是很难，但是功能或指令却不止一种，所以实验中只介绍其中的某一种用法。其他的则可"触类旁通"。 四、实验涉及到的相关软件下载： ARP攻击检测工具 局域网终结者 网络执法官 ARPsniffer嗅探工具 五、实验原理 1、ARP及ARP欺骗原理： ARP（Address Resolution Protocol）即地址解析协议，是一种将IP地址转化成物理地址的协议。不管网络层使用什么协议，在网络链路上传送数据帧时，最终还是必须使用硬件地址的。而每台机器的MAC地址都是不一样的，具有全球唯一性，因此可以作为一台主机或网络设备的标识。目标主机的MAC地址就是通过ARP协议获得的。 ARP欺骗原理则是通过发送欺骗性的ARP数据包致使接收者收到数据包后更新其ARP 缓存表，从而建立错误的IP与MAC对应关系，源主机发送数据时数据便不能被正确地址接收。 2、ARPsniffer使用原理： 在使用该工具时，它会将网络接口设置为混杂模式，该模式下工具可以监听到网络中传输的所有数据帧，而不管数据帧的目的地是自己还是其他网络接口的地址。嗅探器会对探测到的每一个数据帧产生硬件数据中断，交由操作系统处理，这样就实现了数据截获。 3、局域网终结者使用原理： 一个主机接收到与自已相同IP发出的ARP请求就会弹出一个IP冲突框来。利用局域网终结者可以伪造任一台主机的IP向局域网不停地发送ARP请求，同时自已的MAC也是伪造的，那么被伪造IP的主机便会不停地收到IP冲突提示，致使该主机无法上网。这便构成了局域网终结者的攻击原理。 4、网络执法官使用原理： 网络执法官原理是通过ARP欺骗发给某台电脑有关假的网关IP地址所对应的MAC地

网络安全实验2 ARP欺骗实验

实验1 ARP地址欺骗 声明：本实验教程仅限于实验室教学和实验用，不能用于其他非法用途，否则后果自负。 1、实验目的 1、掌握常见ARP欺骗类型和手段 2、掌握ARP协议工作原理和格式 3、掌握防范ARP地址欺骗的方法和措施 4、掌握Sniffer Pro软件的使用 2、实验环境 硬件：交换机1台、路由器1台、计算机数台 软件：Sinfffer pro

Heinaen和Govindan RFC1735 对上进行了进一步的讨论 W.Richard Stenvens TCP/IP协议详解卷1：协议 [日]村上公保TCP/IP网络实验程序篇科学出版社 4、实验原理 数据封装过程 1)、ARP协议简介 ARP(Address Resolve Protocol)地址请求解析协议，用于寻找和IP地址相对应的MAC 地址。在RFC 826中定义了ARP协议的数据格式和类型。ARP协议属于在网络层的下部，可看作为网络层和数据链路层的接口，主要用于IPv4以太网。 ARP消息类型有2种： ARP request ：ARP 请求 ARP response ：ARP应答 ARP协议格式

ARP报文格式 以太网帧的格式：

ü源MAC地址：发送方的MAC地址 ü源IP地址：发送方的IP地址 ü目的MAC地址：ARP请求中该字段没有意义；ARP响应中为接收方的MAC地址 ü目的IP地址：ARP请求中为请求解析的IP地址；ARP响应中为接收方的IP地址 ARP协议的改进 高速缓存技术 高速缓冲区中ARP表项新鲜性的保持：计时器 目的主机接收到ARP请求后将源主机的IP地址与物理地址映射关 系存入自己的高速缓冲区 主机启动时主动广播自己的IP地址与物理地址的映射关系 5、实验步骤 1）掌握常用的ARP常用命令 ARP命令： 功能：用于查看、添加和删除高速缓存区中的ARP表项 高速缓冲区中的ARP表项 表项添加后两分钟内没有被再次使用：删除 表项被再次使用：增加2分钟的生命周期

基于科来网络分析技术的ARP欺骗分析案例

基于科来网络分析技术的ARP欺骗分析案例 在局域网中，IP地址转换为第二层物理地址(即MAC地址)是通过ARP协议来完成的，ARP协议对网络安全具有极 其重要的意义。主机通过伪造IP地址和MAC地址实现ARP 欺骗，能够在网络中产生大量的ARP通信量使网络阻塞。 本文通过一次经典的分析案例，让大家对这种攻击方式有 一个清晰的了解。 案例背景 办公机的网段是192.168.200.X/24的，办公机的网关 地址是192.168.200.254在Cisco 3560上，服务器的地址 段为10.139.144.X/24。 在办公区访问服务器区时，会出现时通时断的现象。 办公机是通过DHCP来获取IP地址，当访问出现不通时， 重新获取一下IP地址，就可以连通，但是用一会又会出现 访问中断的情况。该局的网络环境比较简单，如下图所示：

案例分析 出现故障时，通过Ping服务器地址发现无法Ping通，然后通过Ping办公机的网关地址，发现网关地址也无法 Ping通。查看办公机的ARP表发现网关地址对应的MAC地 址为全0的MAC地址。 通过上面的分析测试我们可以了解到，当主机无法访 问服务器时，主机连网关都无法Ping通，而且主机中网关 的MAC地址全0，即主机没有学习到网关的MAC地址，所以 主机无法跟网关进行通信，从而导致主机无法连通服务器。 正常连接时主机应该有网关的IP地址和MAC地址的 ARP映射表的，但是在访问服务器不成功时并没有学习到网 关的MAC地址，造成这种故障的原因很大可能性是网络中

ARP欺骗。为了验证网络是否有ARP欺骗，我们在交换机3560上做端口镜像来抓取交互的数据包。 办公机连到3560的端口是f 0/46，所以我们只镜像f 0/46，将该端口镜像到端口f 0/25，然后把科来网络分析 系统接到f 0/25端口上捕获通信的数据包。 数据包分析 我们在分析数据包时发现，网络中存在大量的IP冲突。通过诊断视图中的诊断提示，发现产生IP地址冲突的源IP 地址是故障网段的网关地址，如下图所示：

最全的ARP欺骗攻击原理深入分析

1、ARP协议概述 IP数据包常通过以太网发送。以太网设备并不识别32位IP地址：它们是以48位以太网地址传输以太网数据包的。因此，IP驱动器必须把IP目的地址转换成以太网网目的地址。在这两种地址之间存在着某种静态的或算法的映射，常常需要查看一张表。地址解析协议(Address Resolution Protocol，ARP)就是用来确定这些映象的协议。 ARP工作时，送出一个含有所希望的IP地址的以太网广播数据包。目的地主机，或另一个代表该主机的系统，以一个含有IP和以太网地址对的数据包作为应答。发送者将这个地址对高速缓存起来，以节约不必要的ARP通信。 如果有一个不被信任的节点对本地网络具有写访问许可权，那么也会有某种风险。这样一台机器可以发布虚假的ARP报文并将所有通信都转向它自己，然后它就可以扮演某些机器，或者顺便对数据流进行简单的修改。ARP机制常常是自动起作用的。在特别安全的网络上，ARP映射可以用固件，并且具有自动抑制协议达到防止干扰的目的。 图1是一个用作IP到以太网地址转换的ARP报文的例子。在图中每一行为32位，也就是4个八位组表示，在以后的图中，我们也将遵循这一方式。 硬件类型字段指明了发送方想知道的硬件接口类型，以太网的值为1。协议类型字段指明了发送方提供的高层协议类型，IP为0806（16进制）。硬件地址长度和协议长度指明了硬件地址和高层协议地址的长度，这样ARP报文就可以在任意硬件和任意协议的网络中使用。操作字段用来表示这个报文的目的，ARP请求为1，ARP响应为2，RARP请求为3，RARP响应为4。 当发出ARP请求时，发送方填好发送方首部和发送方IP地址，还要填写目标IP地址。当目标机器收到这个ARP广播包时，就会在响应报文中填上自己的48位主机地址。

解决ARP欺骗和攻击的方法

什么是网络瓶颈？如何克服网络瓶颈对网络整体性能的影响？ 网络瓶颈指的是影响网络传输性能及稳定性的一些相关因素，如网络拓扑结构，网线，网卡，服务器配置，网络连接设备等，下面我们逐一加以简单分析： 1．组网前选择适当的网络拓扑结构是网络性能的重要保障，这里有两个原则应该把握：一是应把性能较高的设备放在数据交换的最高层，即交换机与集线器组成的网络，应把交换机放在第一层并连接服务器，二是尽可能减少网络的级数，如四个交换机级联不要分为四级，应把一个交换机做一级，另三个同时级联在第一级做为第二级； 2．网线的做法及质量也是影响网络性能的重要因素，对于100M设备(包括交换机，集线器和网卡)，要充分发挥设备的性能，应保证网线支持100M，具体是网线应是五类以上线且质量有保障，并严格按照100M网线标准(即568B和568A)做线； 3．网卡质量不过关或芯片老化也容易引起网络传输性能下降或工作不稳定，选择知名品牌可有很好的保障； 4．对某些如无盘网络，游戏网络等对服务器的数据交换频繁且大量的网络环境，服务器的硬件配置(主要是CPU处理速度，内存，硬盘，网卡)往往成为影响网络性能的最大瓶颈，提升网络性能须从此入手； 5．选择适当的网络连接设备(交换机和集线器)同样也是网络性能的重要保障，除选择知名品牌外，网络扩充导致性能下降时应考虑设备升级的必要性。 解决ARP欺骗和攻击的方法 在局域网中，通信前必须通过ARP协议来完成IP地址转换为第二层物理地址（即MAC地址）。ARP协议对网络安全具有重要的意义。通过伪造IP地址和MAC地址实现ARP欺骗，对网络的正常传输和安全都是一个很严峻的考验。 “又掉线了！！！”每当听到客户的抱怨声一片响起，网管员就坐立不安。其实，此起彼伏的瞬间掉线或大面积的断网大都是ARP欺骗在作怪。ARP欺骗攻击已经成了破坏网吧经营的罪魁祸首，是网吧老板和网管员的心腹大患。

实验_ARP地址欺骗实验讲解

ARP地址欺骗 1、实验目的 1、掌握常见ARP欺骗类型和手段 2、掌握ARP协议工作原理和格式 3、掌握防范ARP地址欺骗的方法和措施 4、掌握Sniffer Pro软件的使用 2、实验环境 硬件：交换机1 台、路由器1台、计算机数台 软件：Sinfffer pro 3、实验原理 1)、ARP协议简介 ARP(Address Resolve Protocol)地址请求解析协议，用于寻找和IP 地址相对应的MAC地址。在RFC 826中定义了ARP协议的数据格式和类型。ARP协议属于在网络层的下部，可看作为网络层和数据链路层的接口，主要用于IPv4以太网。 ARP消息类型有2 种： ARP request ：ARP 请求 ARP response ：ARP应答

ARP协议格式 数据封装过程 用于以太网的ARP请求或应答分组格式

以太网帧的格式 ARP 报文中各字段的意义 ●硬件类型：以太网接口类型为1 ●协议类型：IP协议类型为080016 ●操作：ARP请求为1，ARP应答为2 ●硬件地址长度：MAC地址长度为6B ●协议地址长度：IP地址长度为4B ●源MAC地址：发送方的MAC地址 ●源IP地址：发送方的IP地址 ●目的MAC 地址：ARP 请求中该字段没有意义；ARP 响应中为接收方的 MAC地址 ●目的IP 地址：ARP 请求中为请求解析的IP 地址；ARP 响应中为接收方的 IP地址 ARP 协议的改进 高速缓存技术 ●高速缓存区中保存最近获得的ARP表项 ●高速缓冲区中ARP表项新鲜性的保持：计时器 ●实验表明高速缓冲区的使用可以大大提高ARP 的效率 其他改进技术 ●目的主机接收到ARP请求后将源主机的IP地址与物理地址映射关系存入自己 的高速缓冲区 ●ARP请求是广播发送的，网络中的所有主机接收到ARP请求后都可以将源主 机的IP 地址与物理地址映射关系存入自己的高速缓冲区 ●主机启动时主动广播自己的IP地址与物理地址的映射关系 4、实验步骤 1）掌握常用的ARP常用命令 ARP命令：

ARP欺骗原理与解决办法

ARP欺骗原理与解决办法 2009-03-26 18:18 【故障原理】 要了解故障原理，我们先来了解一下ARP协议。 在局域网中，通过ARP协议来完成IP地址转换为第二层物理地址（即MAC地址）的。ARP 协议对网络安全具有重要的意义。通过伪造IP地址和MAC地址实现ARP欺骗，能够在网络中产生大量的ARP通信量使网络阻塞。 ARP协议是“Address Resolution Protocol”（地址解析协议）的缩写。在局域网中，网络中实际传输的是“帧”，帧里面是有目标主机的MAC地址的。在以太网中，一个主机要和另一个主机进行直接通信，必须要知道目标主机的MAC地址。但这个目标MAC地址是如何获得的呢？它就是通过地址解析协议获得的。所谓“地址解析”就是主机在发送帧前将目标IP地址转换成目标MAC地址的过程。ARP协议的基本功能就是通过目标设备的IP地址，查询目标设备的MAC地址，以保证通信的顺利进行。 每台安装有TCP/IP协议的电脑里都有一个ARP缓存表，表里的IP地址与MAC地址是一一对应的，如下所示。 主机IP地址MAC地址 A 192.168.16.1 aa-aa-aa-aa-aa-aa B 192.168.16.2 bb-bb-bb-bb-bb-bb C 192.168.16.3 cc-cc-cc-cc-cc-cc D 192.168.16.4 dd-dd-dd-dd-dd-dd 我们以主机A（192.168.16.1）向主机B（192.168.16.2）发送数据为例。当发送数据时，主机A会在自己的ARP缓存表中寻找是否有目标IP地址。如果找到了，也就知道了目标MAC地址，直接把目标MAC地址写入帧里面发送就可以了；如果在ARP缓存表中没有找到相对应的IP地址，主机A就会在网络上发送一个广播，目标MAC地址是“FF.FF.FF.FF.FF.FF”，这表示向同一网段内的所有主机发出这样的询问：“192.168.16.2的MAC地址是什么？”网络上其他主机并不响应ARP询问，只有主机B接收到这个帧时，才向主机A做出这样的回应：“192.168.16.2的MAC地址是bb-bb-bb-bb-bb-bb”。这样，主机A就知道了主机B的MAC地址，它就可以向主机B发送信息了。同时它还更新了自己的ARP缓存表，下次再向主机B 发送信息时，直接从ARP缓存表里查找就可以了。ARP缓存表采用了老化机制，在一段时间内如果表中的某一行没有使用，就会被删除，这样可以大大减少ARP缓存表的长度，加快查询速度。 从上面可以看出，ARP协议的基础就是信任局域网内所有的人，那么就很容易实现在以太网上的ARP欺骗。对目标A进行欺骗，A去Ping主机C却发送到了DD-DD-DD-DD-DD-DD 这个地址上。如果进行欺骗的时候，把C的MAC地址骗为DD-DD-DD-DD-DD-DD，于是A 发送到C上的数据包都变成发送给D的了。这不正好是D能够接收到A发送的数据包了么，

计算机网络安全实验arp欺骗

《计算机网络安全》实验报告实验名称： arp欺骗 提交报告时间：年月日

一、实验目的 程序实现ARP欺骗，对ARP欺骗进行进一步的认识并提出防范措施。 二、系统环境 主机1 windows系统 主机2 windows系统

主机3 linux操作系统 三、网络环境 同一网段下的网络 四、实验步骤与实验结果 将主机A、C、E为一组，B、D、F为一组。实验角色说明如下： 实验主机实验角色 主机A、B 目标主机一/Windows 主机C、D 黑客主机/Linux 主机E、F 目标主机二/Windows 首先使用“快照X”恢复Windows/Linux系统环境。 一．ARP欺骗攻击 实验需求： （1）本实验使用交换网络结构（参见附录B），组一、二和三间通过交换模块连接（主机A、C、E通过交换模块连接，主机B、D、F也通过交换模块连接）。因此，正常情况下，主机C无法以嗅探方式监听到主机A与主机E间通信数据，同样主机D也无法监听到主机B与主机F 间的通信数据。 （2）主机C要监听主机A和主机E间的通信数据；主机D要监听主机B与主机F间的通信数据。 分析：

黑客主机通过对目标主机进行ARP欺骗攻击，获取目标主机间的通信数据。 1．正常通信 图6-1-1 目标主机正常通信示意图 （1）目标主机二单击工具栏“UDP工具”按钮，启动UDP连接工具，创建2513/udp服务端。 主机1发送数据 （2）目标主机一启动UDP连接工具，将“目标机器”IP地址指定为目标主机二的地址，目标端口与服务器一致。在“数据”文本框中输入任意内容，单击“发送”按钮，向服务端发数据。服务端确定接收到数据。

ARP欺骗方法

1. 判断是否 ARP欺骗 判断是否 ARP欺骗判断是否 ARP spoofing病毒的现象： A）是否有一台或几台电脑可以上网，而其他电脑不能上网(不是必然的现象，也有可能是其他网络问题导致这个现象) B）客户机器上 ARP缓存中不同IP地址对应的MAC地址是一样的(例外:如果正巧查的是那台中毒的电脑，就没有这个现象) 方法: 在命令行窗口输入: arp –a 可以看到ARP缓存中的MAC地址对应表，如图，如果有两个IP对应的MAC地址一样，就表明有可能网络中了ARP病毒。 U（推荐先使用这种方法查看） C）3. 交换机 MAC表上MAC地址有的是一样的，这个需要工程师查看交换机MAC表信息 D）4. 交换机上会有警报日志，有 MAC地址冲突(这个需要工程师查看交换机日志) 2. 定位病毒源 1．使用 arp –a查看：

如果 10.28.133.1是正确的网关的话，10.28.133.107 就是感染了ARP欺骗病毒的电脑（U推荐先使用这种方法U） 2．使用特殊的TSC工具，在文件包中有(ARP)TSC.zip（推荐使用）通过把这个TSC部署到客户端，这个TSC找到病毒源头 步骤: 将 TSC 工具从 OfficeScan 中央控制台部署到客户端 从中央控制台命令客户端进行扫描扫描完毕后检查中央控制台的病毒日志记录，搜索日志中的 POSSIBLE_ARP 记录，通过该记录可以找到感染源的机器名。 3．在交换机和路由器上看 MAC地址表,查看是否有重复的MAC地址，然后查找对应的IP地址，找到该电脑。 3. 排除网络瘫痪问题这个时候有两种方法来快速恢复网络。 1）拔掉此机器的网线(推荐使用的方法)。 2)如果你的二层交换机支持单个端口的配置，那么U封锁此网卡连接的交换机的端口U。通过以上两种方式隔离此机器后，等ARP缓存更新后，其他机器即可正常联网。一般来说 MS Windows 高速缓存中的每一条记录包括ARP的生存时间一般为60秒。 4. 抓获 ARP欺骗病毒样本 1. 使用 SIC 2.0 ARP 版本收集系统信息 SIC 2.0 ARP 版本是一个特殊的 SIC 版本，专门收集 ARP 欺骗的相关信息，使用的方法和 SIC2.0 一样，收集到 SIC LOG 后把 SIC 日志发给趋势科技病毒工程师分析处理。 2. 使用 Icesword查找可疑的进程如遇有无法收集有效信息的情况（病毒采用 Rootkit技术进行自身的隐藏），使用 Icesword （Rootkit 检测工具）检查是否有隐藏项目，在Icesword中隐藏的进程、文件和服务会以红色显示。 Icesword 使用说明 通过 Icesword 检查隐藏进程 需要使用到的工具： (ARP)TSC.zip (ARP)SIC 2.0.zip IceSword1.18.rar ipmac_binds_tools .rar

ARP地址欺骗实验报告

计算机科学与技术系 实验报告 专业名称网络工程 课程名称 TCP/IP协议 项目名称 ARP地址欺骗 班级 13网络工程2班 学号 1304032025 姓名王梦梦（E） 同组人员张奔、肖治才、张嫚嫚、杨中成、杨维维 实验日期 2015/12.7

一、实验目的与要求： （简述本次实验要求达到的目的，涉及到的相关知识点，实验的具体要求及实验环境，实验环境中标明源主机、目的主机的IP地址及MAC地址） 1、实验目的 理解ARP协议的原理，掌握ARP地址欺骗的方法。 2、实验环境（标明拓扑结构、源主机、目的主机的IP地址及MAC地址） 发给A的包：数据链路层：源主机MAC:D 目的主机MAC:A ARP报头格式：源主机IP:C 目的主机IP:A 源主机MAC:D 目的主机MAC:000000-000000 发给C的包：数据链路层：源主机MAC:D 目的主机MAC:C ARP报头格式：源主机IP:A 目的主机IP:C 源主机MAC:D 目的主机MAC:000000-000000 二、实验内容 （根据本次实验项目的具体任务和要求，完成相关内容，可包括：实验原理、实验流程概述、实验具体步骤、关键技术分析、实验过程。） 1、实验原理 ARP协议是用来已知IP地址求MAC地址。在每台主机中都有一张ARP地址缓存表，当有ARP请求时，它不但会应答，还会将请求报文中ARP层的源IP和源MAC与本地缓存进行对比，若不一致，则更新。 2、实验流程概述 1）编辑ARP报文中的相关字段值 2）持续发送报文 3）各主机检查本地地ARP地址缓存表，观察D发包前后ARP缓存表的变化。 3、实验具体步骤 各主机打开工具区的“拓扑验证工具”，选择相应的网络结构，配置网卡后，进行拓扑验证，如果通过拓扑验证，关闭工具继续进行实验，如果没有通过，请检查网络连接。 本练习将主机A、C和D作为一组，主机B、E和F作为一组。现仅以主机A、C、D所在组为例，其它组的操作参考主机A、C、D所在组的操作。 1. 主机A和主机C使用“arp -a”命令察看并记录ARP高速缓存。 2. 主机A、C启动协议分析器开始捕获数据并设置过滤条件（提取ARP协议和ICMP协议）。 3. 主机A ping 主机C。观察主机A、C上是捕获到的ICMP报文，记录MAC 地址。 4. 主机D启动协议编辑器向主机A编辑ARP请求报文（暂时不发送）。其中： MAC层：

arp欺骗超详细过程

（一）ARP工作原理、ARP攻击分析叙述： 随着网络设备在接入市场的应用也越来越多；同时遇到的问题也越来越多样，其中最让人头疼的就是ARP 的问题。 众所周知，ARP的基本功能就是在以太网环境中，通过目标设备的IP地址，查询目标设备的MAC地址，以保证通信的顺利进行。但由于ARP的广播、动态学习等特性注定了它不是一种安全的协议，所以在实际应用中，会由于各种各样的原因使ARP学习失败，从而影响网络的互通性，并进而影响用户的业务稳定运行。由于ARP处于数据链路层，处于整个OSI开放式七层模型的倒数第二层，所以除了HUB等极少数的、几乎所有跟以太网接口有关的设备，都涉及到ARP处理的问题。如果ARP问题处理不好，带来的影响也是非常巨大的。 在整个internet网络体系中，网络设备主要分为两类：一类就是安装有各种操作系统平台的PC、服务器等host；而另外一类就是负责网络互联的路由器、交换机、防火墙等数据通讯设备。这些设备由于自身所处的网络位置的不同、安全稳定程度的不同、服务的不同，在ARP机制的处理上也不尽相同，当然本文不是要全面阐述ARP的原理和实现，只是希望能够说明并解决或规避在我们的应用环境中出现的问题――我们考虑的范围是Win2K/XP主机和路由器、交换机。 1 ARP基础知识 一般的，正常的ARP过程只需ARP Request和ARP Response两个过程，简单的说就是一问一答，如下： 这记录了局域网内一台IP为192.168.19.180的PC与网关设备（IP为192.168.1.6）之间的ARP交互，该PC发送请求之后，在0.000434秒之后，网关设备做出了回应，此时路由器就学习到了对方的ARP信息：如下： 我们关注的是ARP的过程，而不是结果；来看一下ARP Request： 从[Ethernet Header]可以看出，ARP请求的目标地址是全F，也就是广播地址；因为在请求之前，本PC 不知道对方的MAC地址，为了确保ARP Request能够让对方收到，以广播形式方式是很自然的选择。在[ARP]

ARP欺骗与防御手段分析

ARP欺骗与防御手段神州数码网络公司

目录 1. ARP欺骗 (3) 1.1. ARP协议工作原理 (3) 1.2. ARP协议的缺陷 (3) 1.3. ARP协议报文格式 (4) 1.4. ARP攻击的种类 (5) 1.4.1. ARP网关欺骗 (5) 1.4.2. ARP主机欺骗 (6) 1.4.3. 网段扫描 (8)

1.ARP欺骗 在与用户的沟通过程中，感觉到用户的网络管理人员最头痛也是频繁出现的问题就是ARP的病毒攻击问题。在一个没有防御的网络当中暴发的ARP病毒带来的影响是非常严重的，会造成网络丢包、不能访问网关、IP地址冲突等等。多台设备短时间内发送大量ARP 报文还会引起设备的CPU利用率上升，严重时可能会引起核心设备的宕机。 如何解决ARP攻击的问题呢？首先要从ARP攻击的原理开始分析。 1.1. ARP协议工作原理 在TCP/IP协议中，每一个网络结点是用IP地址标识的，IP地址是一个逻辑地址。而在以太网中数据包是靠48位MAC地址（物理地址）寻址的。因此，必须建立IP地址与MAC 地址之间的对应（映射）关系，ARP协议就是为完成这个工作而设计的。 TCP/IP协议栈维护着一个ARP cache表，在构造网络数据包时，首先从ARP表中找目标IP对应的MAC地址，如果找不到，就发一个ARP request广播包，请求具有该IP地址的主机报告它的MAC地址，当收到目标IP所有者的ARP reply后，更新ARP cache。ARP cache有老化机制。 1.2. ARP协议的缺陷 ARP协议是建立在信任局域网内所有结点的基础上的，它很高效，但却不安全。它是无状态的协议，不会检查自己是否发过请求包，也不管（其实也不知道）是否是合法的应答，只要收到目标MAC是自己的ARP reply包或arp广播包（包括ARP request和ARP reply），都会接受并缓存。这就为ARP欺骗提供了可能，恶意节点可以发布虚假的ARP报文从而影响网内结点的通信，甚至可以做“中间人”。