计算机网络安全实验arp欺骗

1、*计算机网络安全实验报告实验名称： arp 欺骗提交报告时间:n垂 王帆口4 :n垂 王帆口4 工孙Mtf t 14心 法.实验目的程序实现ARP欺骗，对ARP欺骗进行进一步的认识并提出防范措施。系统环境tlf IbnRising fahableJ - + + . + + S MnUIW Fe Engirt. *.： Mu OMK Suff in “雀e!i List.,i .i 1i-vsr.HbtiLnbFtlhifrtMrl 4iF 如*E* iu*1 r r . S Iffl*IP 口r2. E 中 , , 1 17J.1&. 1 Subnet Hark B. H5,K?5 .T55

2、,ftDtf ALllt G占trU31r . . r . 3 &MCTm。除 Sef .*. iSae txpirc *.+ + .* +$2例i)聿且U 同?s23sM主机1 windows系统 #针”二用 同。主机言空 R 0 口片下 H Q tWl 左 不。an?-河长111 Q4出， 3鼻心17 Q-，除：Qd：。英聊*i-W同轴 |。|芋刑府#1 U41。TtillT。Sill TFMK Evf f lx14。.+ . x F CKnir + NfiUb知加16蓄tt的他匕目归/匚耳圈耳郎13靖0副濡 心事前孰e.nrerr L*id. 嗔. + yiHjf Ftobj liriH

3、blvdI.i NoGnvwiFf r * 也“ Fl”c if 1 匚 INS luff i Ihs9criX： 1M t Flkyi.Ie.f I iMfhf*. ; B DHCP Enablnd.,*： : AutDrnf irurfit lint Enabl it Hddrste.-. littE Mlik 1hFAll 11 GaKrimjr . v . Mb 筝r . QMS IrruefSi B B A B Lq QLUnM. Lajifi-a IEtaplm-s =(SauziQE LiSMiFU-pp r W | Itfl h:loHlP Wltm m Mtwark Cunn

4、tctlon巴邛w *洋吸RI ;i丁 rtf I主机2 windows 系统1地址楮定为 依翅，向俳opt Ls：p5ilCk.佳常协议:三机停止：口1地址楮定为 依翅，向俳opt Ls：p5ilCk.佳常协议:三机停止：口1” I的：1相状时的A， l eu LEiipSlC nrpj i fconfiuthO I. ink .neap: 11hemel IEiddr OCi OC: 29 : F6:11 :L.Hill add11: 12 】H1 丁 2段一民建5 “LT BROADCAST RUXNTG MLLTICAST MTC:1500 Metric;1FiX pfHkt l HO

5、 ，*rrnrF 口 rirnp廿 d* 凸 iivoirnn F也通过交换模块连接)。因此，正常情况下，主机 C无法以嗅探方式监听到主机A与主机E间通信数据，同样主机D也无法监听到主机 B与主机F间的通信数据。(2)主机C要监听主机 A和主机E间的通信数据； 主机D要监听主机 B与主机F间的通 信数据。分析:黑客主机通过对目标主机进行AR黑客主机通过对目标主机进行AR哪骗攻击，获取目标主机间的通信数据。图6-1-1目标主机正常通信示意图(1)目标主机二单击工具栏“ UDP工具”按钮，启动 UDP连接工具，创建 2513/udp服 务端。主机1主机1发送数据(2)目标主机一启动 UDP连接工具

6、，将“目标机器” IP 地址指定为目标主机二的地址， 目标端口与服务器一致。在“数据”文本框中输入任意内容，单击“发送”按钮， 向服务端发数据。服务端确定接收到数据。主机2接收到数据（3）黑客主机单击工具栏“控制台”按钮，切换至 /opt/ExpNIC/NetAD-Lab/Tools/ids目录（Snort目录），命令如下：主机3通过上述命令 snort仅会监听源IP地址为目标主机一的、传输协议类型为 UDP的网络数据（详细的snort使用命令见实验10 |练习一）。（4）目标主机一再次向目标主机二发送消息，黑客主机停止 snort监听（Ctrl+C ）,观 察snort监听结果，是否监听到目

7、标主机间的通信数据。为什么？ uifil JtXARtltomaK本也连签最F：买小PnJQ理由? * i实Milkr Rtti?宜I- l瑞丁占由卜I;:根空全后 客M 目惊虬寿：| Lt? E5一译目 Ml:W 0 x1 BBUF册lx*lM 16 *9 oc -a453BB* -2 中一 -Bl州TI-3 注-MT78dviiraic Myn -arilic ilyiidirilcw,选人买窿日晶 运行闻pk伏但程月攻击1 力奉靠主机的皿总此 -wnTi，城国相以耳面上翼一3 旨植刎（二拧主机1向主机2发送消息主机3不能监听到主机1发送到的数据因为命令snort只会监听源IP地址为目标主

8、机一的、传输协议类型为UDP的网络数据，并不能截获数据(5)目标主机一查看 ARP缓存表，确定与目标主机二的IP相映射的MAC地址是否正常。kc?版权所有 1TK5-ZMB3 tiler*占oft Cop*.i CtiimfliiiF -Nt JLdtbI 2t.2&.2GE.0； 173.16.B.153.i Ctntc met ftddrc 31n 172.1G.B.137 172b16.H.14G I ntc met ftddrc 31n 172.1G.B.137 172b16.H.14G T72.16.H-2b3Fhy lea 1 flildrc n F.-ac ST 3*品 2 b7

9、 “ hi 1TZ-HZ-Type dynaviic dymanic dunan-icrljMxuHlOkJljMxuHlOkJui焦客主机射击干过r具栏.检制古惶i卜世人实发目孟，运存的mu*迂中攻舌目可主和一，将其akf嘴存市 申与目特主机二相胜就的映他!匕电E力/吞三机胪ILU：帆tb筋合如下t/AhJ aA之丸-/后M壬孤一破白卅走舞二O此时主机1arp缓存正常. ARP攻击图6-1-2ARP攻击示意图(1)黑客主机单击平台工具栏“控制台”按钮，进入实验目录，运行 ARPattack程序攻 击目标主机一，将其 ARP缓存表中与目标主机二相映射的 MACM址更改为黑客主机的 MAC地址,

10、 命令如下：其中第一个参数为被攻击主机IP地址，第二个参数为被攻击主机 MACM址，第三个参数为与被攻击主机进行正常通信的主机IP地址。其中第一个参数为被攻击主机IP地址，第二个参数为被攻击主机 MACM址，第三个参数为与被攻击主机进行正常通信的主机IP地址。通过上述命令在目标主机一的AR存表中，与目标主机二IP相绑定的MACM更改为黑客主机MAC(2)黑客主机启动snort,同样监听源IP(2)黑客主机启动snortP的网络数据(3)目标主机一继续向目标主机二发送数据，目标主机二是否接收到数据？目标主机间的通信是否正常？黑客主机停止snort监听，观察snort监听结果，是否监听到目标主机间

11、的通信数据。为什么？主机2不能接收到数据，通信不正常nF，0,1*的 -.皿*生什 二。江胜w堂X2初一 Q。二, J弱找T Rn /触事 二。手攫由P * H招2M -I? *比11 叮* 支its充5J 5雨门环11一,和用.广”,嫌、二# 若卡，WfTAR7*tl , .HTJ? *.( 为R*宝机的S址，*MFT* 和史* F抡It，/二十春WP市手司Rd*址.福三十专性为H用斤立印，耳色tT壬二ITQ羿汉吟用电k为至海ft E啊*】咄址为口标主机Tt作防幅值为m%内* ”，二焦必林昵，自H工科二是百号(jrpE怛柱主粗啊？ 专占部断到Uk主吼加旅店浊式。扁仆心；，眦t耳目曝主相二胡加

12、提射的LC地*是否正常在黑客士航丁尚显稔昕或击后，打杆主机二台接曲不更目 怫联Si产生督援，他n.古宠财评表，耐IJ*1 *1 3货或科捺 fi a XM登里早州即n 山中北il曷困u紧，小工事新I，电中间人.离目餐生机一如件带烝弼屿?目惊，主机1发送数据“ ee”主机三监听到发送的数据“ ee”因为运行ARPattack程序攻击目标主机一，将其 ARP缓存表中与目标主机二相映射的 MAC 地址更改为黑客主机的 MACM址，主机3已经截获了主机 1发给主机2的数据；命令snort会监 听源IP地址为目标主机一的、传输协议类型为UDP的网络数据。(4)目标主机一查看 ARP缓存表，确定与目标主机

13、二的IP相映射的MAC地址是否正常。)MF3 划 司。Uhl* M J感睛事; 1 3主心二 H，砒SEP“ g VW u J比H 由。家匕 田3京与* Q旌-ti Q 珈，l L 的1 J4&*1。芭把* * H支-irli xi空 2 12 .1后.AlMAM?1 nto ran t Add a*a-oFhyaAddrsbits. is.am74-*1ri a.-S3d沙n wit172.1&.B.L4(!00Tt -29-h7-3 g T01dirtftnic收了足：皿：程序Im.ts.a.xsa2*51-32-0251 Tt-aIntcrfaGE ： 172.1&a3414?0X100

14、03ntn-inH t: HlridH-sxPhs leal lidid-F-eHGkh.第三个寺触m.iG.0/7iBfl Se 29 f6 44 ebdjridiraic.13774-A6 .*.trTiiT3fliynAnlie172.lG.eA46M St 29 b73G 61AjjiAUkic!172/1 瓦.，招 7f H -32 2-5l -7fi滞 yin卜小上1J，TFFD ： xEkpH IOirji -a吕弃em4CF ； 17216 - It-j4T-RkIRMI1 nt o mettPhyu id 41 府 dd* 5仃M雁址是否在注。1 万15.71m-Bc -2W

15、6-44-ehdyfiJinjic172-1& M 13774-46-*B-*c-d*-S3dPAnic-M 0c 25 f6 44 ckdain anlcm.M.S.Hl“ f 1-J2-B2-51 -71rljjn JinlcFS?血事杯第J送的却也行惠h ： gcyMIG.01lT EIp为主机2ip ,但MAC已经改成黑客主机的MAC%址了.单向欺骗正如步骤2中所示的实验现象，在黑客实施了简单的ARP攻击后，目标主机二会接收不到目标主机一的消息，在接下来的时间里目标主机一、二很容易会对网络状况产生怀疑。他们会去查看并修改 ARP缓存表。所以应尽量减少目标主机由于受到ARP攻击而表现出的

16、异常， 将黑客主机做为“中间人”，将目标主机一发送的数据转发给目标主机二，是一种很可行的方法。图6-1-3ARP单向欺骗示意图(1)黑客主机开启路由功能，具体操作如下:在控制台中输入命令：echo 1 /proc/sys/net/ipv4/ip_forwardLToowr即Nit upj* ecno iTTpnKTsys mn ipwm nvwubaI le mar;七效的苗敢roctVExpIC Brpjtf echo I /proc/Bys/nct/ipT-l/ip forFrrJfC mps 172. Id (X 119 d IT 16.0. 146 -j ACCEPTrootSEjpN

17、lC arpff iptable5 -t FDR4AHD -m Hate -state E5UBLIS1E1). RELl：lf j ： CCEFTLrnc 1. IC ai-pJpI r，- i - Jl- - I ri -主机3(2)黑客主机捕获来自目标主机一的数据包，并将其转发给目标主机二，具体操作如下(添加iptables 防火墙转发规则)：itElpfh 1 C 4Jt J _ ?roottE xpMC nrj . srrnttBipNIC arp；C iptablos - for MR U otbO -o othO r 172B 1& a 119 -d 173. H.0.14 7

18、ACCEPTLronitExpNlC arp . Q. HQ j ACCEPTroof ElbKIC irpa Iptables -t FOKlAKD n 鼠lailf? - - slu l.c 八rAHLl SHliD. MELAtEU - j ALronitExpNlC arp . Q. HQ j ACCEPTn stale tatc ESTABLISHED, R EL UE D.rootUE ipX IC urp ,* ip t ubl cs I F0H I1H D CEPTn stale tatc ESTABLISHED, R EL UE D主机3上述第一条规则允许将来自网络接口eth

19、0、源IP为目标主机一 IP、目的IP为目标主机二IP的数据包进行转发，目的网络接口为eth0 ;第二条规则允许接收针对第一条规则的应答数据包（iptables 具体使用方法见实验 9 ）练习二）。（3）黑客主机启动 snort ,监听源地址为目标主机一IP、协议类型为 UDP的数据包。主机1发送数据“ zailaii j ； ih i j ； ih ： oxxrijfp;二FR D|ud i!m DlI:3ti6S IpLuh.k Oltr* S喑 a jn 3超 b，耳化ii。身份认证 Q.附配“J - .WM Q -(4)目标主机一再次向目标主机二发送UDP据，目标主机二是否接收到数据？

20、为什么?遽腔昏出拒itIR姿球击网啤攻击习一 ARF收就习二工匚左童定向网电后门特洛伊茎马防火摘人畏喳调I VP算.苴理重门（5黑客主机停止箱。门监听，会视察到夹似如明:】4所示储息上 H ：16 0 C：29：2F 4E:出二行 13 LUP TTI-：d! TOS:O：9：253 TTL:61 I OS 0;1-4数墀包转富:正：即 O.C:29:52:37:15j5+= +- +=+_ +tO；C；：29；32；14;D& *汪目的芸1A tUC地址是0:C:252F:4E：g（6）黑客主机查看A1ES存视，璇定耳目如王机一的17型映泉的岫二蛆址二硼定与佳主机2能接收到数据因为黑客主机通

21、过iptables 规则允许将来自网络接口 eth0、源IP为目标主机一 IP、目的IP为目标主机二IP的数据包进行转发，实现了将黑客主机做为“中间人”，将目标主机一发送 的数据转发给目标主机二（5）黑客主机停止 snort监听，会观察到类似如图6-1-4所示信息。：1：1图6-1-4数据包转发从上图所示信息中可以知道，由源主机（MAC地址是0:C:29:21:1A:7 ）发往目的主机（MAC地址是0:C:29:B7:3C:1）的数据包在网络传输时的路由过程是：源主机 - 中间人（MACM址是 0:C:29:F6:44:FB ）- 目标主机。(6)黑客主机查看 ARP缓存表，确定与目标主机一的

22、IP相映射的MACM址；确定与目标主机二的IP相映射的MAC%址。I镇冲牛L 漏箱L 有看1 的荒1 斤翁U 营船11I镇冲roolliipMC nrpj t aiip :j? C1T2. lfl+ 0. J46) al OQ:OC:29:B7:3C:O1 e-therl on atUCServer,NelLaJb (172. Iti. 0. 253) at 28:32:02:51:78 ether on ethO? (172.Ifl. D. 149)al OOiOC:29:21:1A:O7 ether on tMhOi colLitpSl C sii-pj IF |(7)目标主机二查看 AR

23、P缓存表，确定与目标主机一的IP相映射的MAC%址D - xpNl Ourp a.1nterf ace 172.1&.H.14R172.L&.0.137172.1&.0.149172.L&.U.2S35口卬?Address 74-46 a0 *c-dfl 53 00-0c 29 Zl-1* 0? 2B-S1-32-02-S1-78Type djndFiLc dnanlc dnnLcLM 3.下两东汨恨同椽*帆二同一的明根情信椿猊GF面来测试目标主机二对一的数据通信情况。(8)黑客主机启动 snort ,仅监听协议类型为ICMP的网络数据包.roDtExpNIC ids.sLroDtfExptC

24、 ids 署roDtExplC idsff . /snort -dev src 瓦 H? and 叩Runn i ng in pucfert dunp 1出口Log dj rctciy - Y3T 1 忸1印orlIhitiaHzlna Network Interface ethO11 L I Lil 2 Zl Ll； SlLUJ LInltiaHzina Output Plugins!DaBodLiH Ethernet interface ethOIn i t illiZHtlcci CoN(jlet-* Sunrtl *-Vers i ira 2 C. 0 (Build 72)Hy Mar

25、tin Roesfh (roesrh1 J KE-L-7UDrEK其就0较钱i工监3实验J实验口实验J实验TVi7Ttr7B77jJZH 1 J KE-L-7UDrEKpNl Oping 172.16.fl.146tPinglny 172.16.0,14h with 32 岫吐室 ofJlrpl y Hp p L V Ke P1 V Ttepl vfpQ Ri f rnn f i*on fen172,16.0,1： bytes-32172.16.M.l： hytex3346； hytes=3217Z=150*14C； bytee_32Ping statistics for 172.16.0,1

26、46;Jackets： Sent = 4, Received =。yntn i ct i nn -1 rp C i ne1nn t inelns t inc,RpiiroxiMte k-ound trip tictes in nil Li-fecDnd$ i H j-D iun - Bns , ftex imuni - Ing , ftvBrAife - BmaI.7买胎】1 VP血？ til -会出次也冲虱靠?主机1对主机2进行Ping操作，可以ping通，黑客可以监测到数据文件口编辑查看黑制】标釜L 帝助四71 72 73 7J 75 76 77 61 62 6J 61 H3 66 6?

27、tiS 69 qi 5； lutirnbcrielgh i=+= += +=+=+=-= +二 + 二 4- -+ +=+= += 4-= 4二 /= Hk=： += -+1= +=. + =-+= +=+=+= 4-= +=-+ -+= += +=+=+= += += +I：06/12-18;26;38.整20；匚；加/ 1； IA：7 -呷。汕口0 1 用阊)L：二尸，.Hr -r二 Im 山 Un h.即川-3 15ml3卜1 :.- Ji H/rrl .-rni.rjmorft CndorO ):512 Spq:37fi ECHD REPLY& &2 03 64 65 66 67 63

28、 69 dA dH 6。劭 ri 6F 70 abedefshijklniiop71 72 73 74 75 76 77 61 02 33 &1 比 60 67 陌 69 qrshi v jbederghi= +=+=+=+s+s； +s+=+=+=+w+=+=+=+=+=+=-fe +=：+=,+=+=1-=-+= +=+=+=+= +=+=+= +=+=+s+-fs+s +0S/12- 18:26:38, 3248CD 0:C:29;F6: I l:EB 口:ALacya:山口 en:0 xlAL7I. 16. 0. 9172. 10.TQS:0 x0 ID: 571-IpLen: 20

29、Drnl.ei: 130Typo: ft Codo:0 ID: 512 Scq: 537S ECIID REPLY(31 62 情例6566 6T H8 的 dA 0C方D6E t5F 70abedefghijklnnop71 72 73 74737C T7 61 Z a364 mdo07 第 63qrstuvrabed?Tehi由源主机（MACM址是0:C:29:21:1A:7）发往目的主机（MAC地址是0:C:29:B7:3C:1 ）的数据包在网络传输时的路由过程是：源主机- 中间人（MACM址是0:C:29:F6:44:FB ）-目标主机。（10）黑客主机停止 snort监听，观察结果，

30、是否监听到主机一给主机二发出的ICMP回显请求数据包？是否监听到主机二给主机一发出的ICMP回显应答数据包？为什么会出现此种现象？华Snort!yersion 2.0.0 (Build 72)By Mart in Roesch (ropschOsourcrrirc, com, wvr sncrt. nrp) 0fi/J2-U：35:40, igri2 0：匚 M二2】：IMf -type:0j(8D0 1en:0 xl2J72. w,o, us： 1078 - TTzHtLTToTo TTrRrTnwp：bjh puen：zo 口皿4： 5Z DF*树*二* SOq： Ox68rD56B0 A

31、ck： 0 x0 Ain: OtIFFF TcpLon; 32ICP Options (ri) = MSS: 1460 XOP *S： 2 KOP NOP SarkCK=+=+= += =+=+= += 4= 4=+=+= += Ite - +=+= 4=+=4= += += 4=+=+=t=4= +=-+=4=4=4= += 4=4=4-06/12-18:35:4O+ 11MO2 04心96- - 0:29所3口1 typa:。都00 lcn:Dxl217)用必 J49: 107N - l?ntxH*TTU!J IIPpl.en:2Q Dsnten:52【中*+*+S* Seq: OxGBl

32、 D56BB Ack: OxD Ain: Oxl KH TepLeti: J2TCP gliuns ( MSS: 1460 。空 2 NOP NOP SackOKp +二 +- 4= + +- += +: 4=-+十二 十 二 4二-fc += + = + = +-f -+ + +=4二+二 +=+ + * +二 += +二 4二 十二 4二 十二+1二41二 +能监听到主机一给主机二发出的ICMP回显请求数据包，不能监听到主机二给主机一发出的ICMP回显应答数据包。目标主机二的 ARP缓冲表中与目标主机一IP相映射的MACM址仍然是目标主机一的 MACM址。所以目标主机二会将ICMP回显应答

33、数据包直接发送给目标主机一、,工inE，E dnmicSExpNlOiirpXExpHJOarp平 XExpmC,dynamic d ynamicdfianicFhyfiicl Address 7446-0-ac-da-5J 2H-51-32-02-S1WPhyaical AddressIntepf ace 12.16 .、,工inE，E dnmicSExpNlOiirpXExpHJOarp平 XExpmC,dynamic d ynamicdfianicFhyfiicl Address 7446-0-ac-da-5J 2H-51-32-02-S1WPhyaical AddressIntepf

34、ace 12.16 .1 ntpnet fliddi*车*Interface s 172.16. Internet Address 172,16.0.137Interface： 172.16. Internet Address 172.16,0,1378x1fia3Ph vs icdil Address 74-46-A0-ac=da_53 80-0C-29-21-la-07 2B-51-32-02-51-76dyna廊 it dynam ic d 叩mmic172,16172,164.完全欺骗黑客如何才能够做到监听目标主机一、二间的全部通信数据呢?图6-1-5 ARP完全欺骗示意图(1)目标主

35、机一访问目标主机二的Web服务。(2)黑客对目标主机二实施 ARP攻击。V ll : . i IXp!i .1 L；I i H - r文件k1城第U占旨L终端l1标签b1帮助LIroalOExpNIC arp?F1R?attack 172, Iri, (L Iti OO-0c-29-h7-3 c-0 LZ2. l&Q H9HT1 苜iM、k：rooiPpMC nr口 1 号,RRPaAUwk ki p a I ltk!rDotEspNIC urp耳.ARPa.ltAck 九 口 a t t；ick!raottExpNIC irpl# . /AEtPattack n p d Lidtk：root

36、EcpXIC arp J fl . ARtal tack jrp a i tjirk!rr.nTfjihypKI C arp . .KPat I FifkLrp aurk!.ri idEpMC u田耳 * flRP.i 11, iick u p a t lutk!rootOE3cpNIC arp , Mt*u L tack u p h ”，(血!iC arpl fl1?Z. L6.fi. 140 U0-De Z9-b7-0c-Ol ”I I出 0. H9172. US, 0. 116 DO Oc 29 b7 -3c 01 L73. 16.0. 119L72. lfl.0, Hrt OC-Oc

37、2S-b7-J1 01 172. 1(5. Ol 1+9172, 16. 0.146 OO-Oc-20-b7-3c-Ol L72. Ifl.G. U9172. Iti, 0P 149 00-29-21-I a-07 172, I6.U Lid172. 10.0. 119 00 Qi 29 21 lu 07 Lr2- 16. 0. lid17Z 16l J W (JO-Oc 29 21-1st 07 172. 16.0. Uri(3)黑客主机启动 snort ,监听目标主机一、二间的通信数据。命令如下:(4)目标主机一再次访问目标主机二的Web服务(5)黑客主机观察 snort监听结果。JrZ.

38、 Jd Q ； JU ItiTH28 Il 0：C r2Dr2l： IA ：7 -： 04-% Fd ：M ：R two; 0 x30 l 的 C172.10. Oi 140:80 TCP TTL: 135 Tos HxO ID 后41椁产匚 7口 lgdU?nJO DF”+工y “r 01 面 口二1口 I -n 2ild： lfi;35 iD J51ld 0 C 29 Fd. 44 E1 0 口普:H7 JC; 1 I H.u. nsfioa 1 喇i;UxJTi7 is. aP J9： 107B nz. ifi, a ”i0二so tcf nt:UT TW D:MI IhLm:30 Df

39、riLm； io urSsq: OkMFINMOJ Aeki ajtl7PC0BI k 4ln: OxFAfO TcuLn! 30W.42-ia：39:lB. 108813 AIP vhcHkai 172. Il11sMp + ,*=* 4* ：4-*4191fl.T Fkl tell 17X JCVlN/L2-IB：30HO. IZr L!4：21： |A172. 10.0. 219 1078 ：. 172. M.O. llE*pMIC日47g*9f ran frfli* FroR fi-anf ran f ron FtMJR172.16172.16172,1617216TTL=1 淄 TT

40、L=12B TTLM28 TTL-128TTL-127TTL-127TIL-127TTL-127NplyWeply 辰ply Replytins1 ms tt iRfrlE t ii*elrt5t Irc lms t ine lmn t incIm口Weply Rcplr heplyhytf r=32 hytes =3Z hytco-32 % Last 0 nilli-ELffcondi： * Avciulf .U .149 Packets： Sent = 4, Keceied vx Lnatt raurtd trip t ities in,IOI XI查看主机2的缓存表，发现主机 1的ip对

41、应的MAC已经变成主机 3 （黑客）的了黑客主机3能够做到监听目标主机1、2间的全部通信数据二.防范ARP欺骗当发现主机通信异常或通过网关不能够正常上网时，很可能是网关的IP被伪造。可以使用下列手工方法防范ARP欺骗攻击。清空ARP缓存表清空ARPHI存表的命令是 arp -d,之后对目标主机进行ping操作。IP/MAC地址绑定实现IP/MAC地址绑定，实际上就是向 AR嚓存表中添加静态(static) 项目，这些项目不 会被动态刷新，在机器运行过程中不会失效。Linux 下绑定 IP/MAC实验使用的Linux系统环境(FC5)中，arp命令提供了 -f选项，完成的功能是将 /etc/ e

42、thers文件中的IP/MAC地址对以静态方式添加到 ARP缓存表中。建立静态 IP/MAC捆绑的方法 如下：首先建立/etc/ethers文件(或其它任意可编辑文件)，编辑 ethers文件，写入正确的IP/MAC地址对应关系，格式如下:新建ethers文件，并添加IP/MAC地址/etc/rc.d/rc.local最后添加新行 arp/etc/rc.d/rc.local最后添加新行 arp-f ,重启系统即可生效此时输入arp -e 查看arp缓存表，静态项目的Flags Mask内容为CM其中M表示当前项目永久有效。Windows 下绑定 IP/MACWindows平台中虽然arp命令没

43、有提供-f选项，但同样可以实现IP/MAC地址静态绑定,方法是首先清除 ARP缓存表，然后将IP MAC地址对添加到缓存表中，最后实现开机后自动执行 上述功能。，rTnnrn.qjx1 置 L irit -Jlad t intil gt工-j2 t ira lj? I iiii，D：sEhHMIGntrrf cr l iTZ.lS ，rTnnrn.qjx1 置 L irit -Jlad t intil gt工-j2 t ira lj? I iiii，D：sEhHMIGntrrf cr l iTZ.lS S HT WwlfliWiJ71朔扉f”加曲iJivT3 leal AddjR xxIl k

44、I;h ma I. AirvxE173.1A. B.1T7! I xEhimI Orv -*-ExmMICJAKu 鼻 17Z.1IM Ut IT-W-l. Mi国17,1,U 14f 吊蚪1IwtHiviHl n=m-PhfHi Ik-aI 7dw串 *lTZ.lfa.B-13774*5=A-4T3：AfeflMbLcJ|舞版,事酬如沛-8亨-M-tHJim Milti dLyiG-p .FhiV 9fct ut iei Fn，粒.UUJ4ME6BC -% tefrvl*Ml - *F Lci1 - 4 KHm 1 口 ,MPW寓上eupJ trip tinvs- in 111 一置xure

45、4aIbF，事 kLAuA iNtn But r)JUM翰mliinP-IM1海，|他，* 14VI口.Nfi IF Em上工 WuiJ,与看好工2E 与iUFi，工；三河广田千1 pit中I IL-11 tjLi3a TIL-121 TTLTR.4 jni w-E,Olt_ltt T串一福士址加心帙建虺听行白，| , Ml ?.%；; 1%，3 座电“小1曲升曷星JJtSRtF肘it iWT-* nM H 曲 nnaitm | 脉m cEpgur |匚 ye*1 同.Km | 比ftrw1- J 肾上 * m请根据上述提示，结合arp命令，写出实现52 00-0c-29-95-b5-e9地址

46、对静态绑定的操作步骤，并添写下面的脚本文件文件械安 棺或置，世)帮助出屈Wdtici in 11-文件械安 棺或置，世)帮助出告Mp -S 1/2.Ifc. B_1H3L眦一占也。叱-与电一!也Hl*Interface ； 172 *16.6.1670 x10005Internet AddressFhysical flddr-cssType0774-46-a0-a8-ll?8Aynamir172-16-0-183(J0-0C-29 ft 6 _c 4-destatic172.16.B.25328-51-32-02-51-78dynamicC： XDocument nd Sett ings Jl

47、dm in 1st ra.toi*经过如此操作后，进行 ARP绑定后，在缓存表中进行主机IP地址和物理地址绑定。不会再受黑客篡改IP地址和物理地址。主机正确识别主机IP,达到安全识别并主机之间通信的目的。ARP监听由于AR哪骗是通过伪装其它IP地址向目标主机发送 ARP应答报文实现的，所以通过 ARP监听可以监视网络中的目标为本机的ARP应答数据包的流向。设置监听程序对目标地址为本机地址或子网广播地址或受限广播地址的ARP数据包进行监听。以本机IP地址为52 ,子网掩码为 为例，使用snort监听满 足上述条件的数据包，命令如下：tdh 4 /艮 3cp 11 口 d k:工 pdr - f 卜讣 I k- hl 1 Jh,总卜，| nnJ M i 0 第(rltEijiNlC ids V ./mart -dn ar|i nd *dft LT2. 1& H 1 ar dwt 172i 10.0. 2&5 or i 51 255. 255. 255, 255KunFinff LP packet dunp m