ARP協(xié)議分析實(shí)驗(yàn)報(bào)告

計(jì)算機(jī)科學(xué)與技術(shù)學(xué)院實(shí)驗(yàn)報(bào)告（電子版）課程TCP/IP協(xié)議分析實(shí)驗(yàn)名稱ARP協(xié)議分析指導(dǎo)老師曹晶秀姓名學(xué)號(hào)2班級(jí)2011科技1班實(shí)驗(yàn)地點(diǎn)科技102實(shí)驗(yàn)日期3月21日成績(jī)一、實(shí)驗(yàn)內(nèi)容：1、抓取ARP報(bào)文并進(jìn)行數(shù)據(jù)報(bào)分析2、學(xué)會(huì)ARP命令，運(yùn)用命定對(duì)ARP內(nèi)容進(jìn)行修改3、ARP安全與防護(hù)二、實(shí)驗(yàn)?zāi)康模?、學(xué)會(huì)抓取ARP報(bào)文，掌握ARP報(bào)文結(jié)構(gòu)2、掌握ARP命令，并且學(xué)會(huì)運(yùn)用3、了解ARP安全學(xué)會(huì)ARP防護(hù)三、涉及實(shí)驗(yàn)的相關(guān)情況介紹（包含使用軟件或?qū)嶒?yàn)設(shè)備等情況）：裝有網(wǎng)絡(luò)抓包工具的計(jì)算機(jī)四、程序清單與測(cè)試數(shù)據(jù)：1、抓取ARP報(bào)文如果要準(zhǔn)確的抓取ARP數(shù)據(jù)包，及了解ARP的首次工作方式的話就要了解ARP命令打開(kāi)windows系統(tǒng)里的命令提示符：win+r鍵，輸入cmd確定，如圖1：ARP命令用法如圖1：圖1在命令提示符中輸入arp-？查看信息如圖2圖2輸入ipconfig/all查看本機(jī)ip和默認(rèn)網(wǎng)關(guān)以及本機(jī)的MAC地址如圖3:圖3輸入arp–a查看arp記錄表如圖4:圖4打開(kāi)抓包軟件并測(cè)試能否正常工作如圖5圖5讓軟件一直在抓包中，arp–a查看arp緩沖表中是否有信息，如果有如圖4的信息就要把a(bǔ)rp緩沖清除目的是為了抓出不知道m(xù)ac地址arp的報(bào)文，如圖2信息可知清除arp緩沖的命令為arp–d*，然后在查看arp緩沖的信息如圖6：圖6當(dāng)前轉(zhuǎn)包軟件還在運(yùn)行，然后ping網(wǎng)關(guān)192.168.12.1廣播抓取arp數(shù)據(jù)包如圖7ping網(wǎng)關(guān)：圖7然后停止抓包，產(chǎn)看arp數(shù)據(jù)包，源地址為192.168.12.3的包數(shù)據(jù)如圖8出現(xiàn)成對(duì)的arp數(shù)據(jù)包：圖82．通過(guò)上述過(guò)程我們抓到了arp包，然后進(jìn)行arp數(shù)據(jù)包的分析如圖9是本機(jī)192.168.12.3發(fā)送給網(wǎng)關(guān)192.168.12.1的arp數(shù)據(jù)包：發(fā)送者IP地址發(fā)送者IP地址幀類型源MAC廣播廣播地址硬件類型硬件類型接收者IP地址發(fā)送者物理地址接收者IP地址發(fā)送者物理地址協(xié)議類型硬件地址長(zhǎng)度接收者物理地址接收者物理地址目標(biāo)MAC請(qǐng)求類型請(qǐng)求類型圖9如圖10是本機(jī)192.168.12.3接受網(wǎng)關(guān)192.168.12.1的arp數(shù)據(jù)包：圖103.ARP安全與防護(hù)A.ARP的攻擊原理：ARP攻擊就是通過(guò)偽造IP地址和MAC地址實(shí)現(xiàn)ARP欺騙，能夠在網(wǎng)絡(luò)中產(chǎn)生大量的ARP通信量使網(wǎng)絡(luò)阻塞，攻擊者只要持續(xù)不斷的發(fā)出偽造的ARP響應(yīng)包就能更改目標(biāo)主機(jī)ARP緩存中的IP-MAC條目，造成網(wǎng)絡(luò)中斷或中間人攻擊。ARP攻擊主要是存在于局域網(wǎng)網(wǎng)絡(luò)中，局域網(wǎng)中若有一臺(tái)計(jì)算機(jī)感染ARP木馬，則感染該ARP木馬的系統(tǒng)將會(huì)試圖通過(guò)“ARP欺騙”手段截獲所在網(wǎng)絡(luò)內(nèi)其它計(jì)算機(jī)的通信信息，并因此造成網(wǎng)內(nèi)其它計(jì)算機(jī)的通信故障。某機(jī)器A要向主機(jī)B發(fā)送報(bào)文，會(huì)查詢本地的ARP緩存表，找到B的IP地址對(duì)應(yīng)的MAC地址后，就會(huì)進(jìn)行數(shù)據(jù)傳輸。如果未找到，則A廣播一個(gè)ARP請(qǐng)求報(bào)文（攜帶主機(jī)A的IP地址Ia——物理地址Pa），請(qǐng)求IP地址為Ib的主機(jī)B回答物理地址Pb。網(wǎng)上所有主機(jī)包括B都收到ARP請(qǐng)求，但只有主機(jī)B識(shí)別自己的IP地址，于是向A主機(jī)發(fā)回一個(gè)ARP響應(yīng)報(bào)文。其中就包含有B的MAC地址，A接收到B的應(yīng)答后，就會(huì)更新本地的ARP緩存。接著使用這個(gè)MAC地址發(fā)送數(shù)據(jù)（由網(wǎng)卡附加MAC地址）。因此，本地高速緩存的這個(gè)ARP表是本地網(wǎng)絡(luò)流通的基礎(chǔ)，而且這個(gè)緩存是動(dòng)態(tài)的。B．ARP的防御，可以下載各種殺毒軟件或是防火墻進(jìn)行防御，也可以用ARP命令進(jìn)行網(wǎng)關(guān)ip與網(wǎng)關(guān)MAC的靜態(tài)綁定如圖11命令：圖11如果電腦的系統(tǒng)是windowsXP可以命令A(yù)RP–s192.168.12.1a4-99-47-e7-79-15如果電腦的系統(tǒng)是win7可以用netsh-c"ii"addneighbors14192.168.12.1a4-99-47-e7-79-15綁定靜態(tài)網(wǎng)關(guān)的ARP五、實(shí)驗(yàn)結(jié)果、分析、體會(huì)等：通過(guò)本次實(shí)驗(yàn)學(xué)會(huì)了抓包軟