计算机网络实验三 ARP原理与ARP欺骗 实验报告

最新推荐文章于 2024-03-30 12:40:28 发布
最新推荐文章于 2024-03-30 12:40:28 发布
阅读量2.9k 收藏 10
点赞数
分类专栏: 计网实验 #报告 文章标签: 网络 linux
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/Paper_Heaven/article/details/116176439
版权

实验三 ARP原理与ARP欺骗

目录

【实验名称】

ARP原理与ARP欺骗

【实验目的】

1、熟悉Linux中telnet服务及telnet命令的用法;
*2、熟悉Linux中arpspoof工具的用法;
3、在发送方是主机、接收方是本网络上的另一个主机;发送方是主机、接收方是另一个网络上的主机;发送方是路由器、接收方是本网络上的一个主机;发送方是路由器、接收方是另一个网络上的主机等四种典型情况下,观察ARP高速缓存表的变化,观察Wireshark截获的ARP数据包,分析ARP协议的工作过程以及ARP协议的工作原理;

【实验要求】

1、根据实验需要,搭建实验环境;建立或修改虚拟实验网络;
2、按照实验步骤,认真完成实验;采取截图、拍照等形式记录实验结果;
3、依据课本和课堂讲解,详细分析实验结果、验证理论知识;
4、认真完成实验报告,按时提交实验指导老师。

【实验环境】

1、操作系统:Linux操作系统,要求内核支持Tun模块、Vlan模块等,本实验在CentOS7操作系统中测试通过;
2、操作权限:部分操作需具有root权限;
3、应用软件:需安装命令行工具:tunctl、vconfig等;需安装服务程序telnet-server等;需安装客户程序telnet等;需安装工具软件tuxcut及其依赖软件;需安装编辑工具gedit或其它文本编辑工具;需安装网络分析软件Wireshark及其依赖软件;其它常用必备的应用软件;
4、实验网络拓扑:ARP原理与ARP欺骗实验网络拓扑如图1所示:
利用Linux命令或编辑执行脚本,构建虚拟实验网络如图2所示:

5、参考脚本:构建如图所示虚拟实验网络,可参考如下脚本:

#!/bin/sh
set -x
#开启ip分组转发
sysctl -w net.ipv4.ip_forward=1

#创建br53及其相连的NS
#创建Bridge
brctl addbr br53
#创建namespace
ip netns add ns531
ip netns add ns532
ip netns add ns53gw
ip netns add ns53m
#将各namespace中的lo接口上线
ip netns exec ns531 ip link set lo up
ip netns exec ns532 ip link set lo up
ip netns exec ns53gw ip link set lo up
ip netns exec ns53m ip link set lo up
#创建veth pair
ip link add tap531 type veth peer name tap531_p
ip link add tap532 type veth peer name tap532_p
ip link add tap53gw type veth peer name tap53gw_p
ip link add tap53m type veth peer name tap53m_p
#把tap迁移到namespace
ip link set tap531 netns ns531
ip link set tap532 netns ns532
ip link set tap53gw netns ns53gw
ip link set tap53m netns ns53m
#把相应tap添加到Bridge中
brctl addif br53 tap531_p
brctl addif br53 tap532_p
brctl addif br53 tap53gw_p
brctl addif br53 tap53m_p
#配置相应tap的IP地址
ip netns exec ns531 ip addr add local 192.168.53.1/24 dev tap531
ip netns exec ns532 ip addr add local 192.168.53.2/24 dev tap532
ip netns exec ns53gw ip addr add local 192.168.53.254/24 dev tap53gw
ip netns exec ns53m ip addr add local 192.168.53.250/24 dev tap53m
#根据需要将Bridge及相关tap状态设置为up
ip link set br53 up
ip link set tap531_p up
ip link set tap532_p up
ip link set tap53gw_p up
ip netns exec ns531 ip link set tap531 up
ip netns exec ns532 ip link set tap532 up
ip netns exec ns53gw ip link set tap53gw up
#攻击者53m暂时不上线,需要时手动上线
ip link set tap53m_p up
ip netns exec ns53m ip link set tap53m up
#为br53所连各NS配置默认网关
ip netns exec ns531 route add -net 0.0.0.0 netmask 0.0.0.0 gw 192.168.53.254
ip netns exec ns532 route add -net 0.0.0.0 netmask 0.0.0.0 gw 192.168.53.254
ip netns exec ns53m route add -net 0.0.0.0 netmask 0.0.0.0 gw 192.168.53.254

#创建br54及其相连的NS
#创建Bridge
brctl addbr br54
#创建namespace
ip netns add ns541
ip netns add ns54gw
#将各namespace中的lo接口上线
ip netns exec ns541 ip link set lo up
ip netns exec ns54gw ip link set lo up
#创建veth pair
ip link add tap541 type veth peer name tap541_p
ip link add tap54gw type veth peer name tap54gw_p
#把tap迁移到namespace
ip link set tap541 netns ns541
ip link set tap54gw netns ns54gw
#把相应tap添加到Bridge中
brctl addif br54 tap541_p
brctl addif br54 tap54gw_p
#配置相应tap的IP地址
ip netns exec ns541 ip addr add local 192.168.54.1/24 dev tap541
ip netns exec ns54gw ip addr add local 192.168.54.254/24 dev tap54gw
#根据需要将Bridge及相关tap状态设置为up
ip link set br54 up
ip link set tap541_p up
ip link set tap54gw_p up
ip netns exec ns541 ip link set tap541 up
ip netns exec ns54gw ip link set tap54gw up
#为br54所连各NS配置默认网关
ip netns exec ns541 route add -net 0.0.0.0 netmask 0.0.0.0 gw 192.168.54.254</

最低0.47元/天 解锁文章
辣椒天堂
关注
  • 0
    点赞
  • 10
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
项目基本配置:实现研发小组分公司R1与研发服务器总公司R2之间,通过Internet公网互访。
彭淦淦的博客
04-30 415
1.2 方案 搭建实验环境如图-1所示。 图-1 1.3 步骤 实现此案例需要按照如下步骤进行。 步骤一:配置R1路由器 [R1]interface g0/0/1 [R1-GigabitEthernet0/0/1]ip add 172.16.10.254 24 [R1]interface g0/0/0 [R1-GigabitEthernet0/0/1]ip add 100.0.0.1 30 [R...
计算机网络安全实验实验报告4
11-01
ARP欺骗攻击,页数27
ARP欺骗 实验报告
06-09
1、掌握常见ARP欺骗类型和手段 2、掌握ARP协议工作原理和格式 3、掌握防范ARP地址欺骗的方法和措施 4、掌握Sniffer Pro软件的使用
交换机实验
11-30
交换机(英文:Switch,意为“开关”)是一种用于电信号转发的网络设备。它可以为接入交换机的任意两个网络节点提供独享的电信号通路。最常见的交换机是以太网交换机。其他常见的还有电话语音交换机、光纤交换机等。
计算机网络实验四:MAC地址、IP地址、ARP地址
最新发布
weixin_60530224的博客
03-30 871
此次实验主要涉及到计算机网络MAC地址、IP地址和ARP协议的原理和应用。这些知识点是构建现代计算机网络的基础,了解它们的工作原理对于我们深入理解网络通信具有重要意义。在实验过程,理解了MAC地址的概念和作用,它是网卡设备的硬件地址,用于唯一标识网络上的设备。并且了解了IP地址和子网掩码的概念,以及如何通过子网掩码计算出网络地址和主机地址。我还学习了ARP协议,它可以将一个IP地址映射到一个对应的MAC地址,从而实现在网络定位并访问其他设备。
ARP协议以及集线器,交换机,路由器的组合
autofei的专栏
05-06 1980
首先看看这个简单的拓扑结构: N1 ------------ PC1                       |                     N3                       |N2 ------------ PC2          网络1 N1 ------------ PC1 | | |N
网络安全实验之《ARP欺骗攻击》实验报告
热门推荐
7xun's space
04-16 1万+
从上图可以看到第33行,Kali向网关询问192.168.161.134 Win7的MAC地址,因为之前的攻击更改了网关的ARP缓存表,所以网关将Kali的MAC地址当做Win7的MAC地址进行发送。同时,在进行实验的过程,我也遇到了许多问题,在解决这些问题的过程,我也收获了许多,学习到了很多。通过本次实验,我对ARP协议以及ARP报文的结构有了进一步的了解,掌握了ARP欺骗攻击的原理以及ARP欺骗攻击工具的使用,同时尝试了自己编写脚本来实现ARP欺骗攻击。(6)查看被arp投毒后的靶机arp信息。
ARP欺骗实验报告
qq_53019252的博客
10-21 2306
ARP欺骗实验报告环境实验步骤: 环境: 物理机IP:192.168.236.1 虚拟机IP:192.168.236.130 网关:192.168.236.2 实验步骤: 安装python和pycharm,安装scapy包 ARP欺骗实验 打开虚拟机,nat模式,保证联通网络。 在物理机上ping 虚拟机 用arp -a 获取虚拟机mac地址 查看发包网卡 构造ARP欺骗包, 用wireshark抓包 返回虚拟机查看,可见,网关mac地址变成了物理机mac 地址,arp欺骗
计算机网络安全》实验报告arp欺骗.doc
06-27
计算机网络安全》实验报告arp欺骗
计算机网络安全实验——arp欺骗..doc
06-07
计算机网络安全》实验报告 实验名称: arp欺骗 提交报告时间: 年 月 日 1. 实验目的 程序实现ARP欺骗,对ARP欺骗进行进一步的认识并提出防范措施。 2. 系统环境 主机1 windows系统 主机2 windows系统 主机3 linux...
《验证地址解析协议 ARP 的工作过程》实验报告
01-03
"《验证地址解析协议 ARP 的工作过程》实验报告" 在计算机网络,地址解析协议(ARP)扮演着至关重要的角色。它能够将IP地址解析为MAC地址,从而实现不同网络设备之间的通信。下面是关于ARP协议的工作过程及其相关...
ARP地址欺骗实验报告.doc
03-27
ARP地址欺骗实验报告
arp欺骗技术实验
06-18
ARP协议的基本原理与基本工作过程及ARP欺骗技术,通过arp欺骗软件监听两台主机A和B之间通信的内容,获得有用的数据,懂得防御ARP欺骗的重要性。
Dhcp两大威胁以及arp欺骗等试验总结
06-18
Dhcp两大威胁以及arp欺骗等试验总结 1 伪dhcp server。Dhcp的工作原理大概是首先client广播dhcp discovery消息,本网段的dhcp server回送dhcp offer消息,客户段再发送dhcp request消息,声明自己即将使用的ip地址,server发送ack给client告知client可以使用。防止伪dhcp其实就可以在交换机上启用dhcp snooping功能,凡是不信任的端口(信任端口就是dhcp server使用的端口,需独立配置),都将拒绝从该端口发送dhcp offer消息从而杜绝伪dhcp server。 在cisco交换机上全局启用 ip dhcp snooping,,并使用命令ip dhcp snooping vlan 2,告知在vlan2里使用snooping,这样所有端口都是非信任端口,都将丢弃dhcp offer报文,如果是使用三层交换机提供dhcp服务,就不比单独配置信任端口了。配置信任端口是在物理端口下使用命令 ip dhcp snooping trust. 记住:接入层交换机需支持dhcp snooping功能;信任端口是在物理端口下配置(包括trunk级联端口) 2 DHCP dos攻击。主要就是伪造大量mac地址去像server申请地址,耗费dhcp server地址池,从个人达到拒绝服务攻击的目的。一般用两种方法,但实际操作性都不是太强。第一种办法就是对交换机端口规定一些合法的mac地址池,只有在此范围内的主机才可以通过该端口进行转发。或者限制最大mac地址数。这样客户端就没办法伪造mac地址去申请ip了。Cisco交换机就是在物理端口下使用switchport port-security mac-add命令填加,这种方法工作量大且不能满足移动性的要求。另一种方法就是与实际认证系统相结合,认证系统首先对MAC地址进行第一次认证,只有MAC地址是合法的,才允许DHCP Sever分配IP地址给终端,这主要用到802.1x认证协议和radius认证服务器。 3 有时候为了需要,不希望用户自己设定ip地址来上网,也就是说限制用户只能动态获取地址才能上网,自己固定地址不能上网。这种就相对比较简单,不需要在接入层上做什么设置,也就是不要求接入层支持dhcp snooping功能。只需要在三层交换机上使用如下命令就搞定。 Ip arp inspection vlan 500 //vlan500下面启用arp inspection功能 Ip arp inspection validate src-mac dst-mac ip //只有源mac 目的mac和ip都正确才合法 这里必须还是先在三层交换机上启用ip dhcp snooping功能 同时监控snooping vlan 500。因为arp inspection实际是根据dhcp 绑定信息来判断的。如果用户不是自动获取ip,而是自己设置ip,那么它就不会被dhcp snooping捕获到,当然所有的该ip地址发送的arp请求都会被网关拒绝掉的(因为源,目的mac和ip地址都是不合法的,自然被认为是非法的arp请求)。但是固定ip时是可以跟本局域网内其它机器通信的,只是不能通过arp协议学习到网关的mac地址。 注:以上的dhcp server都是在三层交换机上启用的。 4 arp欺骗。可以分两种情况:一是伪造网关去欺骗网内其它主机;而是伪造其它主机去 欺骗网关。当然更严重的是两种情况同时存在,并开始数据转发功能,这就是一种间 人攻击(双方欺骗),可以嗅探数据包(代理arp功能跟此类似,很多计费网关和一些透明防火墙就利用了代理arp功能)。从某种意义上说,arp欺骗就是一种代理arp。 神码可提供专门的在接入层交换机使用ACL来限制客户仿冒网关,这个acl就是限制该端口下不允许发送网关地址的arp通告报文,这样可以有效的防止伪造网关去欺骗其它主机。 (Config)# access-list 1101 deny an an untagged-eth2 12 2 0806 20 2 0002 28 4 C0A80001 该ACL说明如下: 13,14字节是arp协议代码0806,21,22字节是0002表示arp reply,29-32字节就是网关ip地址的16进制 STEP2:应用ACL (Config)# Firewall enable (Config)# int e 0/0/1-24 //在所有端口下应用该acl (int)# mac access-group 1101 in traffic-statistic 当然,如果知道某个具体端口是什么IP地址,那么就可以限制该端口只能发送该IP的arp通告是最好了,这就可以完全杜绝arp欺骗。但明显可操作性差。 另一种能较好防止arp欺骗的办法就是在各个主机上绑定网关的mac,同时在网关上静态绑定IP+mac。不过这种办法不如前面办法好,它不能防止局域网内部的arp欺骗。 如果采取的是动态获取ip地址,神码交换机有个新特性,能完全控制arp欺骗。可以防止接入主机假冒网关,可以防止接入主机假冒其它用户;管理复杂度低,交换机配置简单并且基本不需要变更;支持用户移动接入,交换机可以自动检测到用户接入位置并正确转发用户数据; ip dhcp snooping enable ip dhcp snooping binding enable Interface Ethernet0/0/1 ip dhcp snooping binding user-control ! Interface Ethernet0/0/2 ip dhcp snooping binding user-control 如果是静态ip,需要ip+mac+端口的绑定。 am enable Interface Ethernet0/0/1 am port am mac-ip-pool 00-1C-23-06-0D-B9 10.10.1.90 还是说说cisco交换机吧。一般采取动态获取IP地址的上网方式比较多,先配置ip dhcp snooping 再配置ip arp inspection,此时,客户端就应该没办法伪造其它主机去伪造网关,因为这些伪造的arp reply报文在网关看来都是非法的,自然会拒绝。至于伪造网关的防治,大概就只能在用户自己主机上静态绑定arp缓存表了。 1 防止arp扫描。在某些情况下也可抑制arp欺骗原理就是对物理端口进行arp报文 数量的限制。方法就是在物理端口是使用ip arp inspection limit rate 命令限制每秒钟允许通过的arp报文数。 2 伪mac地址的防治。交换机的mac地址表如果被大量充斥,将会影响性能,严重的将会是交换机崩溃,因为一般的cam存储都有限。所以这类防治般限制每端口出来的mac地址数目即可。至于伪造的防治,那就只能选择port-security了,虽然不能满足移动性的要求。 针对目前学校主干是cisco交换机,接入层品牌太杂,档次参差不齐,用户自动从cisco三层交换机上获取地址上网的情况,我认为比较好的办法就是在cisco交换机上启用dhcp snooping 以及arp inspection功能来尽可能防止arp欺骗。用户还得绑定好网关的mac地址。要能更有效的防止arp欺骗和防止伪dhcp server,还得升级接入层交换机。
计算机网络课程设计实验报告
01-22
包含一个wireshark抓包分析工具和一份“pdu和网络数据流分析”实验报告。报告内容包含:PDU的概念,在OSI参考模型数据传输的基本过程 ,在TCP/IP参考模型的数据传输基本过程 ,对TCP/IP参考模型主要层的PDU分析,...
ARP欺骗实验
AC1145的博客
01-03 1098
ARP欺骗实验 ARP欺骗介绍 摘自百度百科 ARP欺骗(是针对以太网地址解析协议(ARP)的一种攻击技术,通过欺骗局域网内访问者PC的网关MAC地址,使访问者PC错以为攻击者更改后的MAC地址是网关的MAC,导致网络不通。此种攻击可让攻击者获取局域网上的数据包甚至可篡改数据包,且可让网上上特定计算机或所有计算机无法正常连线。最早探讨ARP欺骗的文章是由Yuri Volobuev所写的《ARP与...
计算机网络实验五-Switch 通过在实验室搭建VLAN实验环境,利用交换机进行VLAN 配置
kelxLZ的博客
12-16 2248
实验环境: OS:Windows7 CPU:AMD Ryzen 3700U 一、实验目的 掌握思科模拟器的使用方法 熟悉 VLAN 的技术背景和原理 熟悉 VLAN 的基本配置方法和配置命令 在交换机上实现 VLAN 的划分 二、实验意义 通过在思科模拟器搭建 VLAN 实验环境,利用交换机进行VLAN 配置,掌握 VLAN 的划分方法 三、实验器材 思科模拟器 四、实验拓扑 五、实验步骤及详细配置 依照组网图使用思科模拟器添加 2 台交换机以及 4 台 PC,连接各设备。为不影响结.
计算机网络嗅探实验,网络嗅探与欺骗实验
weixin_39834767的博客
06-25 641
1、实验项目名称:网络嗅探与欺骗实验2、实验项目的目的和要求:1)了解网络嗅探与欺骗的原理;2)掌握基本网络嗅探与欺骗工具的使用方法;3、实验内容:1)安装并使用网络嗅探工具(如Iris等);2)使用网络嗅探工具对局域网的特定主机进行ARP、ICMP、TCP、UDP等协议的数据报网络嗅探;3)使用网络嗅探工具对局域网的特定主机进行ARP欺骗实验网络嗅探器,即网络监听,可以理解为在一个计...
计算机网络原理·实验·第六章】搭建静态路由环境
Chahot的博客
06-25 772
搭建静态路由环境 目标: 用GNS3来模拟搭建这个环境。我们一步步来。首先在GNS3上拽图片。简单的表示一下图的4个网络的网段。 首先对PC进行配置。 PC配置完后,来配置路由器。路由器的配置需要配置两个端口,一个快速以太网口,一个串口,串口需要在DCE端配置时钟频率。 命令不熟悉的看这里:【计算机网络】第三章:使用GNS3和VMWare搭建实验环境(Part1:GNS3环境) R1: R2: R3: 如上所有端口配置完成。 我们检测网络连通性一定是要来回一步步来。首先应该PC1到R1,
计算机网络实验三 集线器、交换机、路由器与arp
05-19
实验三主要是关于集线器、交换机、路由器以及 ARP 协议的实验。下面我将对每个部分进行简要...总之,这些实验都是以实践为主,需要我们实际操作和观察网络设备的工作状态,从而深入理解计算机网络的基本原理和协议。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值