一、实验目的
1.掌握ARP协议工作原理和报文格式
2.理解ARP攻击的原理
3.了解几种解决ARP攻击的方法
二、实验拓扑
三、实验步骤
1.按照图的要求搭建实验环境,搭建实验环境的方法如下:
利用 VMware 和 GNS3 搭建实验环境,在 VMware 中创建 3 台虚拟机,分别命名为 PCA、PCB、PCC,其中 PCC 必须按照 win2003。PCA 和 PCB 的网卡连接到 VMnet1,PCC 的网卡连接到 VMnet8 上,在 GNS3 中建一个路由器,路由器上添加两个以太网接口,添加两个主机,两个主机分别连接到 VMnet1 和 VMnet8 上,按照实验拓扑给路由器和主机配置 IP 地址。
图1-1 配置路由器
VMnet1:
PCA:win2003 172.16.1.1
PCB:win2003 172.16.1.2
VMnet2:
PCC:win2003 172.16.2.1
问题1:按照方法配置后,在PCA中分别ping PCB和PCC是否能够ping通?
答:可以ping通
问题2:ping测试完之后,在PVA、PCB和PCC以及路由器中分别查看ARP缓存,能看到什么结果?
PCA的ARP缓存:
PCA | PCB | PCC | Router f0/0 | Router f0/1 | |
---|---|---|---|---|---|
IP地址 | 172.16.1.1 | 172.16.1.2 | 172.16.2.1 | 172.16.1.254 | 172.16.2.254 |
硬件地址 | 00-0C-29-A9-C8-7A | 00-0C-29-98-3E-FB | 00-0C-29-CD-F4-63 | 000c.29a9.c87a | 000c.29cd.f463 |
3.测试IP冲突原理
在PCA上安装wireshark,启动抓包,在PCB上修改IP地址,使PCB和PCA的IP地址一样,查看PCA的抓包并填写下表
4.在PCC上安装FTP服务器
(1)单击 开始 – 设置 – 控制面板 – 添加删除程序 – 添加删除Windows程序,打开Windows程序界面
图4.1 打开Windows程序界面 (2)选择 应用程序服务器 ,单击 详细信息 ,选中 Internet信息服务(IIS) ,单击 详细信息 ,打开如图所示配置界面。
图4.2 打开IIS详细信息 (3)选中 文件传输协议(FTP)服务 ,单击 确定 完成FTP安装。
图4.3 选中FTP服务,完成安装 (4)新建一个账户,这里创建一个xxx账号。按照如下路径在C盘创建文件夹,“C:\ftp\localuser\xxx”,“xxx”修改为自己刚才创建的账户,在该文件夹下新建一个记事本文件“test.txt”,记事本文件中写上“hello,xxx!!!”。
图4.4-1 新建一个用户
图4.4-2 在C盘创建相应的文件 (5)单击 开始 – 程序 – 管理工具 – Internet信息服务(IIS)管理器 ,打开Internet信息服务管理器,如图所示。
图4.5 打开IIS管理器 (6)右键单击 FTP站点 – 新建 – ftp站点 ,打开ftp服务器创建向导,如图所示。
图4.6 新建FTP站点 (7)单击 下一步 ,输入FTP描述,单击 下一步 ,选择IP地址和端口号,IP地址为172.16.2.1,端口号为21,单击 下一步 ,打开如图所示配置
图4.7 选择IP地址和端口号 (8)选择“隔离用户”,单击 下一步 ,选择路径为“C:\ftp”,单击 下一步 完成ftp服务器配置。配置完后再PCC上先测试ftp服务器是否可用
图4.8-1 选择“隔离用户”
图4.8-2 选择路径 5.在PCA和PCB上安装wireshark,在PCA上安装cain软件
6.在PCA和PCB上分别启动wireshark,选择抓包。在PCA上启动cain软件,单击 configuration ,打开配置对话框,选中网卡,单击 确定 ,如图所示
图6-1 选中网卡 7.选中 start sniffer 按钮,在主窗体中选择“sniffer”标签,选中下面的“hosts”标签,右键单击选中“Scan MAC Address”,进行局域网扫描,如图所示
图7.1 进行局域网扫描 问题3:扫描后在hosts标签下能够看到几台主机?IP地址是多少?
答:2台主机,IP地址分别为172.16.1.2、172.16.1.254 8.单击下面的“ARP”标签,选择“add to list”按钮(蓝色十字按钮),打开ARP欺骗设置界面,如图所示。左边选中“172.16.1.2”,右边选择“172.16.1.254”,单击确定。
图8-1 打开arp欺骗 9.然后单击“start arp”按钮
问题4:此时在主机PCA上和PCB上再次查看arp缓存,对比问题2中PCB中的arp缓存,有什么不一样的地方?
PCA的arp缓存: PCB的arp缓存: PCB网关的MAC地址和PCB的MAC地址一样
问题5:在路由器上查看arp缓存,查看PCB的IP地址对应的MAC地址,和问题2中查看的结果有什么不同?
路由器的arp缓存: PCB的IP地址和对应的MAC地址: PCA与PCB的MAC地址一样
10.在PCB上打开命令行,输入ftp 172.16.2.1,输入用户名,密码登录,登录成功后输入quit退出
图10-1 在PCB上使用ftp连接PCC 11.在主机PCA上的cain软件的“sniffer”标签下的“passwords”标签下,查案ftp选项,如图,看到什么结果?
图11-1 可以看到刚才使用ftp连接的用户名和密码 12.在PCA和PCB上停止wireshark抓包并保存。
图12-1 所抓获的2个数据包
问题6:查看抓包内容,简单描述该软件扫描主机的工作过程
在网络环境中嗅探是否有主机存在,从172.16.1.1—172.16.1.254进行询问,探测那个主机存在
问题7:找出ARP欺骗的斑纹,主要有6个,填写下表
问题8:通过上表,简单说明ARP欺骗的过程
攻击者先发送arp报文获取网关和目标机的mac地址和IP地址,然后向网关发送响应报文,报文中包含自己的mac地址,向目标主机发送响应告诉目标机自己是网关,并把自己的mac地址发送给他。
问题9:在主机PCA中抓取的数据包中查出ftp发送用户名和密码的数据包,写出它们的编号,同时在wireshark上截图保存
用户名编号:426
密码编号:434