《網絡安全技術實踐教程》教案授課單位：授課時間：授課班級：授課教師：年月日教案13（第13號/17號）課程名稱網絡安全技術實踐授課日期、節次班級課堂類型理論+實踐地點章節（任務）名稱任務6.3ARP欺騙攻擊教學目標知識目標1.掌握ARP欺騙攻擊的原理。2.熟悉ARP欺騙攻擊的檢測與防御能力目標1.能夠有效檢測并識別ARP欺騙攻擊。2.能夠針對ARP欺騙攻擊進行有效的防御。素質目標1.培養學生精益求精的工匠精神。2.培養學生樹立牢固的法治觀念，提升網絡安全意識。學情分析授課對象：計算機網絡技術專業學生，包括中職與普高混合班。學生特點：計算機網絡技術專業學生，基礎知識存在差異，需針對性講解與實踐操作結合。學習習慣：偏愛實踐性強的課程，理論學習興趣較低。樂于通過案例和互動式教學理解知識點。重難點分析教學重點1.ARP欺騙攻擊的原理。2.ARP欺騙攻擊的檢測與防御。教學難點1.ARP欺騙攻擊的原理。2.ARP欺騙攻擊的檢測與防御。信息化應用方法通過課件、視頻、案例分析、互動提問等多種信息化方式，借助學習通平臺發布學習資源和任務，學生自主學習并完成任務。課程思政元素1.法律責任。結合網絡安全法第27條、第63條，明確未經授權實施ARP攻擊可能構成“非法侵入計算機信息系統罪”。2.服務意識。塑造職業精神，使學生形成運用所學專業知識為社會貢獻的責任感。3.工匠精神。鍛煉學生實事求是的工作態度，培養學生嚴謹細致的工作作風、精益求精的工匠精神。教學實施過程課前：平臺發布網絡嗅探技術任務3學習任務，學生預習。課中：導入新課工程師小林在排查交換機MAC地址泛洪攻擊的過程中，發現內部網絡中的設備存在通信延遲或無法正常訪問的問題。經過分析，小林發現了偽造IP地址和MAC地址，懷疑內部網絡受到了ARP欺騙攻擊。因此，小林決定對ARP欺騙攻擊展開詳細的排查。任務知識點講解1ARP簡介ARP是根據IP地址獲取物理地址的一個TCP/IP協議。主機發送信息時，將包含目標IP地址的ARP請求廣播到局域網上的所有主機，并接收返回消息，以此確定目標的物理地址；收到返回消息后，將該IP地址和物理地址存入本機ARP緩存中，并保留一定時間，下次請求時可直接查詢ARP緩存以節約資源。我們知道，不管網絡層使用的是什么協議，在實際網絡的鏈路上傳送數據幀時，最終還是必須使用物理地址，但IP地址和物理地址因格式不同而不存在簡單的映射關系。此外，在一個網絡中，可能經常會有新的設備加入進來，或撤走一些舊的設備。那么怎樣才能找到目的設備的物理地址？ARP就是為了解決這樣的問題而出現的。解決辦法是在每一個主機中都設置一個ARP高速緩存（ARPCache），其中存儲了局域網內各主機和路由器的IP地址到物理地址的映射表。當主機A欲向本局域網內的某個主機B發送IP數據包時，首先在其ARP高速緩存中查看有無主機B的IP地址。如果有，就可查出其對應的物理地址，再將此物理地址寫入MAC數據幀，然后通過局域網將該MAC數據幀發往此物理地址；如果沒有，可能是主機B剛入網的原因，在這種情況下，主機A會自動運行ARP，然后按照以下步驟獲取主機B的物理地址。（1）在本局域網內廣播發送一個ARP請求分組，詢問主機B的物理地址。（2）該局域網內所有主機運行的ARP進程都會收到此ARP請求分組。（3）主機B的IP地址與ARP請求分組中要查詢的IP地址一致，它會向主機A發送ARP響應分組，在響應分組中寫入自己的物理地址。而其他主機的IP地址都與ARP請求分組中要查詢的IP地址不一致，因此都忽略這個ARP請求分組。（4）主機A收到主機B的ARP響應分組后，就在其ARP高速緩存中寫入主機B的IP地址到物理地址的映射。詳細過程如圖6-29所示。（a）主機A廣播發送ARP請求分組（b）主機B向A發送ARP響應分組圖6-29使用ARP獲取物理地址的流程ARP用于解決同一個局域網上的主機或路由器的IP地址到MAC地址的映射問題。從IP地址到物理地址的解析是自動進行的，主機的用戶通常是不知道這種地址解析過程的。當主機或路由器要和本網絡上的另一個已知IP地址的主機或路由器進行通信時，ARP就會自動地將該IP地址解析為鏈路層所需要的物理地址。如果所要找的主機和源主機不在同一個局域網上，就要通過ARP找到一個位于本局域網上的某個路由器的物理地址，然后把分組發送給這個路由器，由這個路由器把分組轉發給下一個網絡，剩下的工作就由下一個網絡來完成。ARP有以下4種典型使用場景。（1）發送方是主機，要把IP數據包發送到本網絡上的另一個主機。這時用ARP找到目的主機的物理地址。（2）發送方是主機，要把IP數據包發送到另一個網絡上的一個主機。這時用ARP找到本網絡上的一個路由器的物理地址，剩下的工作由這個路由器來完成。（3）發送方是路由器，要把IP數據包轉發到本網絡上的一個主機。這時用ARP找到目的主機的物理地址。（4）發送方是路由器，要把IP數據包轉發到另一個網絡上的一個主機。這時用ARP找到本網絡上另一個路由器的物理地址，剩下的工作由這個路由器來完成。PC端常用的ARP請求命令如下。（1）查看緩存表命令：arp–a。（2）建立靜態緩存表命令（在一段時間內，如果主機不與某一IP地址對應的主機通信，則動態緩存表會刪除對應的地址，但是靜態緩存表中的內容則是永久性的）：arp-sipmac。（3）清空緩存表命令：arp-d。2ARP欺騙攻擊原理從上述ARP獲取MAC地址的過程中，我們可以發現ARP請求并不安全，其信任根基脆弱。在局域網框架內，默認主機之間無條件信賴。此環境下，任意設備皆能自由發出ARP響應，而接收端則不加甄別地全部接收，并將這些響應存儲到ARP緩存中，沒有設置真實驗證機制。正因如此，惡意攻擊者得以乘虛而入，散布偽造ARP響應，悄無聲息地篡改目標機器的MAC映射表，實現ARP欺騙。此類攻擊的核心在于憑空捏造IP地址與MAC地址的映射，將網絡淹沒于海量欺詐性ARP流量之中，僅需持續發送偽造ARP響應包流，即可逐步侵蝕、修改目標緩存中的IP-MAC映射關系，導致網絡中斷，甚至可能使中間人攻擊得逞，網絡安全防線面臨嚴峻挑戰。ARP欺騙攻擊原理如圖6-30所示。圖6-30ARP欺騙攻擊原理攻擊者主機B向網關C發送一個響應，其中包括主機A的IP地址、主機B的MAC地址。同時，主機B向主機A發送一個響應，其中包括網關C的IP地址、主機B的MAC地址。這時，網關C就會將緩存表里主機A的MAC地址換成主機B的MAC地址，而主機A也會將緩存表里網關C的MAC地址換成主機B的MAC地址。因此，網關C發送給主機A的消息全被主機B接收，而主機A發送給網關C的消息也全被主機B接收，主機B便成為主機A和網關C通信的“中間人”。ARP欺騙攻擊主要存在于局域網中，局域網中若有一臺設備感染ARP木馬，則該設備將試圖通過ARP欺騙手段截獲網絡內其他設備的通信信息，從而造成局域網內設備通信延遲或故障。3ARP欺騙攻擊特點與危害ARP欺騙攻擊具有如下特點。（1）攻擊成本低：不需要特殊的網絡設備，攻擊者只要能夠將計算機接入網絡，就能對網絡內的主機實施ARP欺騙攻擊。（2）技術要求低：ARP本身比較簡單，且存在明顯的安全漏洞，攻擊者只要了解ARP的原理，就能夠利用相應的攻擊軟件或自行編寫軟件進行攻擊。（3）溯源困難：雖然攻擊者處在網絡內部，但由于ARP數據包只在IP層傳送，如果沒有專門的工具，用戶很難發現自己被攻擊。此外，許多攻擊者都會偽造主機的IP地址和MAC地址，甚至假冒其他主機的地址來實施攻擊，使查找攻擊主機變得更加困難。鑒于ARP欺騙攻擊的這些特點，其對網絡環境構成的威脅不容小覷，我們應了解ARP欺騙攻擊的典型危害。（1）使同一網段內的其他用戶無法上網。（2）可嗅探到交換式局域網中的所有數據包。（3）可對局域網內的信息進行篡改。（4）可控制局域網內任何主機。4ARP欺騙攻擊的檢測與防御鑒于ARP欺騙攻擊會帶來嚴重危害，及時對其進行檢測與防御顯得尤為重要，以下列舉了幾種常見的檢測與防御措施。（1）主機級主動檢測：主機定期向所在局域網發送查詢自己的IP地址的ARP請求報文，如果收到另一ARP響應報文，則說明該網絡上另有一臺機器與自己使用相同的IP地址。（2）服務器級檢測：比較同一MAC地址對應的IP地址，如果這些IP地址不同，則說明對方偽造了ARP響應報文。（3）網絡級檢測：配置主機定期向中心管理主機報告其ARP緩存表的內容，或者利用網絡嗅探工具連續監測網絡內主機物理地址與IP地址對應關系的變化。ARP欺騙攻擊的防御可以從以下幾個方面著手。（1）MAC地址綁定：由于ARP欺騙攻擊是通過偽造IP地址和MAC地址欺騙目標主機，從而更改ARP緩存中的路由表進行攻擊，因此，只要將局域網中每臺計算機的IP地址與MAC地址綁定，就能有效地防御ARP欺騙攻擊。（2）使用靜態緩存表：如果需要更新ARP緩存表，則手動進行更新，以確保黑客無法進行ARP欺騙攻擊。（3）使用ARP服務器：在確保ARP服務器不被攻擊者控制的情況下，使用ARP服務器來搜索自己的ARP緩存表來響應其他客戶端的ARP廣播。（4）使用ARP防火墻有條件的情況下，使用ARP防火墻等防御ARP欺騙攻擊的工具來進行ARP欺騙攻擊的防御。（5）隔離攻擊源：及時發現正在進行ARP欺騙攻擊的客戶端并立即對其采取隔離措施。（6）劃分VLAN（VirtualLocalAreaNetwork，虛擬局域網）：在3層交換機的網絡中，可以通過劃分VLAN來縮小ARP欺騙攻擊的影響范圍。VLAN的劃分不受網絡端口實際物理位置的限制，用戶可以根據不同客戶端的功能、應用等將其從邏輯上劃分在一個相對獨立的VLAN中，每個客戶端的主機都連接在支持該VLAN的交換機端口上。同一VLAN內的主機形成一個廣播域，不同VLAN之間的廣播報文能夠得到有效的隔離。由于ARP欺騙攻擊不能跨網段進行，因此，這種方法能夠有效地將ARP欺騙攻擊限制在一定范圍內。但其缺點是增加了網絡管理的復雜度，而且難以適應網絡的動態變化。。任務實施步驟1．查看IP地址和MAC地址（1）在虛擬機攻擊機上，進入命令輸入界面，輸入命令“ifconfig”并執行，查看攻擊機IP地址和MAC地址信息，其IP地址為“192.168.124.135”，MAC地址為“00:0c:29:82:cb:54”，如圖6-31所示。圖6-31查看攻擊機IP地址和MAC地址（2）在虛擬機靶機上，進入命令輸入界面，輸入命令“ipconfig/all”并執行，查看靶機的IP地址和MAC地址信息，IP地址為“192.168.124.143”，物理地址為“00-0C-29-5D-A2-36”，如圖6-32所示。圖6-32查看靶機IP地址和MAC地址2．實施ARP欺騙攻擊（1）在Kali系統虛擬機攻擊機中，進入命令輸入界面，輸入命令“fping-asg192.168.124.0/24”，并執行查找靶機所在網段中當前存活的主機，查看是否能看到靶機的IP地址，如圖6-33所示。圖6-33當前存活的主機從圖6-33中可以看出，當前存活的主機有4臺，分別是攻擊機本機（IP地址：192.168.124.135）、宿主機（IP地址：192.168.124.143）、VMwareWorkstationPro系統所在主機（IP地址：192.168.124.1）和網關（IP地址：192.168.124.2）。（2）輸入命令“arp-a”并執行，查看當前存活的主機的IP地址與MAC地址映射表，如圖6-34所示。圖6-34當前存活的主機的IP地址與MAC地址映射表在這里需要特別注意，網關IP地址“192.168.124.2”對應的MAC地址為“00:50:56:fa:92:df”。（3）輸入命令“arpspoof-ieth0-t192.168.124.143192.168.124.2”并執行，這里的“-i”用于指定網卡，“-t”用于指定持續不斷攻擊。該命令執行后，攻擊機會持續不斷地發送ARP響應，進行ARP欺騙攻擊，如圖6-35所示。圖6-35開啟ARP欺騙攻擊（4）此時，進入Windows10系統宿主機，發現已經無法正常上網，如圖6-36所示。（5）進入命令輸入界面，輸入命令“arp-a”并執行，可以看到網關IP地址“192.168.124.2”對應的MAC地址已經變為“00-0c-29-82-cb-54”，而這個MAC地址，就是Kali系統攻擊機IP地址對應的MAC地址，從而證明ARP欺騙攻擊成功，如圖6-37所示。圖6-36目標靶機無法訪問網絡圖6-37網關MAC地址改變（6）在攻擊機命令輸入窗口，按快捷鍵“Ctrl+C”，停止ARP欺騙攻擊。再次進入目標靶機，測試發現，目標靶機已經能