華北電力大學實驗報告||試驗名稱ARP襲擊試驗課程名稱網絡襲擊與防備||專業班級：網絡學生姓名：學號：成績：指導教師：曹錦綱試驗日期：一、試驗目的及規定1、安裝虛擬機（VMWARE）和WinArpAttacker軟件（或其他ARP襲擊軟件）。2、熟悉軟件功能特性。3、用ARP襲擊對虛擬機進行襲擊。4、分析襲擊給目的主機的影響。二、所用儀器、設備兩臺WindowsXPProfessionalSP3虛擬機三、試驗原理WinArpAttacker軟件可以發現并搜集局域網中的所有數據包。它重要執行下列6種襲擊行為：（1）FLOOD（Arp洪水）：不間斷的IP沖突襲擊。以最快的速度向目的主機發送IP沖突數據包，假如發送過多，目的主機將當機。（2）BANGATEWAY（屏蔽網關）：嚴禁上網。將目的主機的錯誤mac地址發送給網關，這樣目的主機就無法從互聯網接受數據包.此襲擊用于制止目的主機訪問互聯網。（3）IPConflict（IP沖突）：定期的IP沖突。與Arp洪水襲擊類似，以常規速度向目的主機發送ip沖突數據包，由于IP沖突的信息,目的主機無法訪問網絡。（4）SniffGateway（嗅探網關）：監聽選定機器與網關的通訊。在目的主機和網關之間進行欺騙，嗅探并搜集他們之間的數據包。（5）SniffHosts（嗅探主機）：監聽選定的幾臺機器之間的通訊。在兩臺或多臺主機之間進行欺騙，在這些主機之間嗅探并搜集數據包。（6）SniffLan（局域網嗅探）：監聽整個網絡任意機器之間的通訊。與嗅探網關類似，區別在于，局域網嗅探方式是將自己作為網關發送ARP廣播包給所有主機，然后就可嗅探所有主機與網關之間的數據包。（非常危險）當欺騙ARP表時，不必局域網內其他主機的識別，即可將自己裝飾為另一種網關（或包轉發主機）。通過WinArpAttacker的包轉發功能，可搜集并轉發數據包，使用時最佳嚴禁當地系統自身的包轉發功能。可以記錄通過WinArpAttacker包轉發功能嗅探和轉發的數據，就像在當地網絡接口上看到的數據包記錄值同樣。ARP表在很短的時間內自動更新（大概5秒內），也可選擇不自動刷新ARP表。四、試驗措施與環節1、在VMware中新建兩個虛擬機，均安裝WindowsXP系統，并設置網卡連接方式為Host-only（主機）模式。2、詳細的TCP/IP參數設置如下：設備IP地址掩碼MAC地址PC1、保證兩臺虛擬機互相可以ping通：PC1：PC2：4、WinArpAttacker下載后直接解壓縮即可使用，在PC1中打開，即顯示軟件主界面。5、在WinArpAttacker主窗口中選擇“掃描”→“高級”菜單項，即可打開“掃描”對話框。在其中選擇“掃描網段”選項。單擊“掃描”按鈕進行掃描。會彈出Scanningsuccessfully（掃描成功）信息框。6、單擊“確定”按鈕，即可在WinArpAttacker主窗口中看到掃描成果，如圖所示區域是主機列表區，重要顯示局域網內機器IP、MAC、主機名、與否在線、與否在監聽、與否處在被襲擊狀態，其中ArpSQ是該機器的發送ARP祈求包的個數；ArpSP是該機器的發送回應包個數；ArpRQ是該機器接受的祈求包個數；ArpRP是該機器接受的回應包個數。左下方區域重要顯示檢測事件，在這里顯示檢測到的主機狀態變化和襲擊事件。而右下方區域重要顯示當地局域網中所有主機IP地址和MAC地址信息。7、在進行襲擊之前，需要對襲擊的各個屬性進行設置。單擊工具欄上的“設置”→“適配器”菜單項，則打開Options對話框，如下左圖所示。假如當地主機安裝有多塊網卡，則可在“適配器”選項卡下選擇綁定的網卡和IP地址。本次試驗選擇VMwareAcceleratedAMDPCNetAdapter網卡（即默認網卡）。在“襲擊”選項卡中可設置網絡襲擊時的多種選項，如下右圖所示。除“持續IP沖突”是次數外，其他都是持續的時間，假如是0則表達不停止。8、在“更新”選項卡中可設置自動掃描的時間間隔，如下左圖所示。在“檢測”選項卡中可設置與否啟動自動檢測以及檢測的頻率，如下右圖所示。10、在“分析”選項卡中可設置保留ARP數據包文獻的名稱與途徑，如下左圖所示。在“ARP代理”選項卡中可啟用代理ARP功能，如下右圖所示。11、在“保護”選項卡中可以啟用當地和遠程防欺騙保護功能，以防止受到ARP欺騙襲擊，如下圖所示。12、在WinArpAttacker主窗口中選用需要襲擊的主機，單擊“襲擊”按鈕右側下拉按鈕，在彈出菜單中選擇襲擊方式，即可進行襲擊。這樣受到襲擊的主機將不能正常與網絡進行連接。13、一般襲擊方式：（1）選擇“不停IP沖突”襲擊方式，在PC2上可以看到出現了“IP地址沖突提醒”，PC2無法上網。（2）選擇“定期IP沖突”襲擊方式，在PC2上同樣可以看到出現了“IP地址沖突提醒”，PC2無法上網。該方式與“不停IP沖突”的差異是可以手動設置沖突時間。（3）在PC2中持續ping百度，看到可以ping通，在PC1中選擇“嚴禁上網”襲擊方式后，再次查看PC2，可以看到此時無法ping通百度，PC2已被嚴禁上網。14、Send功能：Attack的6個選項，其實都可以用Send功能自己實現。本次試驗嘗試通過Send功能修改目的主機的ARP緩存。（1）查看目的主機PC2的ARP緩存表如下：此時PC1的MAC地址是正常的。（2）選擇“發送”功能，輸入對的的SrcIP地址、MAC地址和DstIP地址，并將DstMAC地址修改為EE-EE-EE-EE-EE-EE，即錯誤的DstMAC地址，選擇進行持續發送。（3）此時再次查看PC2的ARP緩存表，可以發現PC1的MAC地址已經被修改了，PC2無法ping通PC1。五、試驗心得與體會本次試驗學習使用了WinArpAttacker軟件，熟悉了WinArpAttacker軟件的功能特性，對ARP襲擊有了切身的體會。在試驗過程中，最初選擇使用一臺筆記本與一臺虛擬機進行試驗，其中虛擬機的網卡連接方式為Bridged（橋接）模式，此時虛擬機雖然可以看做網絡中的一臺獨立主機，也有它自己的IP地址和MAC地址，不過在用WinArpAttacker軟件進行掃描時，只能掃描出虛擬機的MAC地址與筆記本的MAC地址一致，最終導致所有的襲擊方式都失效了，沒措施產生嚴禁上網的效果。在網上查詢了有關闡明以及仔細比較了其他ARP襲擊試驗后，發目前通過虛擬機進行ARP襲擊試驗時，需要將虛擬機的網卡連接方式設置為Host-only（主機）模式，使虛擬機之間形