一、实验目的

1.掌握ARP协议工作原理和报文格式
2.理解ARP攻击的原理
3.了解几种解决ARP攻击的方法

二、实验拓扑

三、实验步骤

1.按照图的要求搭建实验环境，搭建实验环境的方法如下：
    利用 VMware 和 GNS3 搭建实验环境，在 VMware 中创建 3 台虚拟机，分别命名为 PCA、PCB、PCC，其中 PCC 必须按照 win2003。PCA 和 PCB 的网卡连接到 VMnet1，PCC 的网卡连接到 VMnet8 上，在 GNS3 中建一个路由器，路由器上添加两个以太网接口，添加两个主机，两个主机分别连接到 VMnet1 和 VMnet8 上，按照实验拓扑给路由器和主机配置 IP 地址。

图1-1 配置路由器

VMnet1：
PCA:win2003 172.16.1.1
PCB:win2003 172.16.1.2

VMnet2:
PCC:win2003 172.16.2.1

问题1：按照方法配置后，在PCA中分别ping PCB和PCC是否能够ping通?

答：可以ping通

问题2：ping测试完之后，在PVA、PCB和PCC以及路由器中分别查看ARP缓存，能看到什么结果？
PCA的ARP缓存：

PCB的ARP缓存： PCC的ARP缓存： 路由器的ARP缓存： 2.在PCA、PCB、PCC和路由器上分别查看接口的IP地址和硬件地址填下表。（路由器上查看硬件地址命令用show interface，主机中用ipconfig /all）

	PCA	PCB	PCC	Router f0/0	Router f0/1
IP地址	172.16.1.1	172.16.1.2	172.16.2.1	172.16.1.254	172.16.2.254
硬件地址	00-0C-29-A9-C8-7A	00-0C-29-98-3E-FB	00-0C-29-CD-F4-63	000c.29a9.c87a	000c.29cd.f463

3.测试IP冲突原理
在PCA上安装wireshark，启动抓包，在PCB上修改IP地址，使PCB和PCA的IP地址一样，查看PCA的抓包并填写下表

4.在PCC上安装FTP服务器
（1）单击 开始 – 设置 – 控制面板 – 添加删除程序 – 添加删除Windows程序，打开Windows程序界面

图4.1 打开Windows程序界面 (2)选择 应用程序服务器 ，单击 详细信息 ，选中 Internet信息服务（IIS） ，单击 详细信息 ，打开如图所示配置界面。
图4.2 打开IIS详细信息 (3)选中 文件传输协议（FTP）服务 ，单击 确定 完成FTP安装。
图4.3 选中FTP服务，完成安装 (4)新建一个账户，这里创建一个xxx账号。按照如下路径在C盘创建文件夹，“C：\ftp\localuser\xxx”，“xxx”修改为自己刚才创建的账户，在该文件夹下新建一个记事本文件“test.txt”，记事本文件中写上“hello，xxx！！！”。
图4.4-1 新建一个用户

图4.4-2 在C盘创建相应的文件 (5)单击 开始 – 程序 – 管理工具 – Internet信息服务（IIS）管理器 ，打开Internet信息服务管理器，如图所示。
图4.5 打开IIS管理器 (6)右键单击 FTP站点 – 新建 – ftp站点 ，打开ftp服务器创建向导，如图所示。
图4.6 新建FTP站点 (7)单击 下一步 ，输入FTP描述，单击 下一步 ，选择IP地址和端口号，IP地址为172.16.2.1，端口号为21，单击 下一步 ，打开如图所示配置
图4.7 选择IP地址和端口号 (8)选择“隔离用户”，单击 下一步 ，选择路径为“C:\ftp”，单击 下一步 完成ftp服务器配置。配置完后再PCC上先测试ftp服务器是否可用
图4.8-1 选择“隔离用户”

图4.8-2 选择路径 5.在PCA和PCB上安装wireshark，在PCA上安装cain软件
6.在PCA和PCB上分别启动wireshark，选择抓包。在PCA上启动cain软件，单击 configuration ，打开配置对话框，选中网卡，单击 确定 ，如图所示
图6-1 选中网卡 7.选中 start sniffer 按钮，在主窗体中选择“sniffer”标签，选中下面的“hosts”标签，右键单击选中“Scan MAC Address”，进行局域网扫描，如图所示
图7.1 进行局域网扫描 问题3：扫描后在hosts标签下能够看到几台主机？IP地址是多少？
答：2台主机，IP地址分别为172.16.1.2、172.16.1.254 8.单击下面的“ARP”标签，选择“add to list”按钮（蓝色十字按钮），打开ARP欺骗设置界面，如图所示。左边选中“172.16.1.2”，右边选择“172.16.1.254”，单击确定。
图8-1 打开arp欺骗 9.然后单击“start arp”按钮
问题4：此时在主机PCA上和PCB上再次查看arp缓存，对比问题2中PCB中的arp缓存，有什么不一样的地方？
PCA的arp缓存： PCB的arp缓存： PCB网关的MAC地址和PCB的MAC地址一样
问题5：在路由器上查看arp缓存，查看PCB的IP地址对应的MAC地址，和问题2中查看的结果有什么不同？
路由器的arp缓存： PCB的IP地址和对应的MAC地址： PCA与PCB的MAC地址一样
10.在PCB上打开命令行，输入ftp 172.16.2.1，输入用户名，密码登录，登录成功后输入quit退出
图10-1 在PCB上使用ftp连接PCC 11.在主机PCA上的cain软件的“sniffer”标签下的“passwords”标签下，查案ftp选项，如图，看到什么结果？
图11-1 可以看到刚才使用ftp连接的用户名和密码 12.在PCA和PCB上停止wireshark抓包并保存。
图12-1 所抓获的2个数据包
问题6：查看抓包内容，简单描述该软件扫描主机的工作过程
在网络环境中嗅探是否有主机存在，从172.16.1.1—172.16.1.254进行询问，探测那个主机存在
问题7：找出ARP欺骗的斑纹，主要有6个，填写下表

问题8：通过上表，简单说明ARP欺骗的过程
攻击者先发送arp报文获取网关和目标机的mac地址和IP地址，然后向网关发送响应报文，报文中包含自己的mac地址，向目标主机发送响应告诉目标机自己是网关，并把自己的mac地址发送给他。
问题9：在主机PCA中抓取的数据包中查出ftp发送用户名和密码的数据包，写出它们的编号，同时在wireshark上截图保存
用户名编号：426
密码编号：434