第四章维护办公环境网络.docx

1、第四章维护办公环境网络 第四章 实验报告实验时间：2010.08.13实验人： 实验名称：一、收集网络信息；二、ARP 协议的应用案例；实验任务和目标：一、1.获取网段和网关信息2.获取主机名称和IP地址的对应关系3.获取IP地址和MAC地址的对应关系4.通过局域网查看工具（LanSee）完成上述任务二、1.设置主机A上的网络执法官，攻击主机B，使主机B无法访问互联网2.在主机B静态绑定网关的IP/MAC地址3.主机A更改网络执法官的设置，攻击网关，使主机B 无法访问互联网4.安装并配置ARP防火墙实验环境描述：一、一、公司新招一名网络管理员，到岗后发现前一任网管没有留下任何资料，整理网络资料

2、以便于维护管理网络。二、主机A使用网络执法官，限制主机B与网关通信网管员在主机B绑定网关的IP-MAC条目，通信恢复主机A更改网络执法官设置，主机B再次无法与网关通信一、收集网络信息；实验过程；使用Lansee来查看MAC地址二、ARP 协议的应用案例；开三台机子，一个2003真IP为172.16.5.24；一个2003虚为172.16.5.50；一个XP为172.16.5.52；在172.16.5.24上安装网络执法官；开始进行ARP欺骗攻击；Ping 网内中的任何一个IP地址；查看MAC地址是不是真实的；以上ARP缓存中的MAC与网络执法官中的MAC地址不同，则主机中的MAC地址为假的；已

3、经体现出来了ARP欺骗了；选择以上的选项就可以对网内的任何机子进行欺骗；172.6.5.52上安装ARP防火墙；看看可不可防止ARP攻击；安装好ARP防火墙；进行攻击；以上防止了ARP攻击；停止一下ARP防火墙；以上又体现出来了ARP攻击了；开启再看看；下面是在主机上绑定对方MAC地址；以上攻击不成功了。总结和分析：一、当出现IP地址冲突时，网络管理员需要做两件事：第一，恢复员工主机的正常通信；第二，查找私自配置IP地址的主机。首先，恢复员工主机正常通信：使该计算机重新获得IP定即可。然后，查找私自更改IP地址的主机：1、IP地址冲突主机原来使用的IP地址就是私自更改IP主机正使用IP地址；2

4、、使用ping命令，ping上述IP地址；3、使用arp a命令显示ARP缓存，从中找出源IP地址对应的MAC地址；4、找到此MAC地址的主机；需要注意：有时擅自更改IP地址的主机安装有防火墙或ARP防火墙等软件，这些软件使得主机不回复除网关设备外的ARP请求。导致除网关外无法获得该主机的ARP应答，这时就需要从网关查找该主机的MAC地址。在宽带路由器上查看ARP条目选择“IP与MAC绑定ARP映射表”来查看ARP条目，可以获得更改IP地址的主机MAC地址。如果网关使用Cisco路由器等设备可以通过命令来显示ARP条目，从而查找MAC地址。知道问题主机的MAC地址后，可以通过查看主机相关信息记

5、录表找到问题主机。二、ARP协议原理：(1）主机PC1想发送数据给主机PC2，它检查自己的ARP缓存表。ARP缓存表是主机存储在内存中的一个IP地址和MAC地址一一对应的表。在Windows操作系统中可以使用arp a来显示ARP缓存表。如果要查找的MAC地址不在表中，ARP会发送一个广播，从而发现目的地的MAC地址。经查看PC1的ARP缓存表中没有发现PC2的MAC地址，这时，PC1会初始化ARP请求过程（发送一个ARP请求广播），用于发现目标的MAC地址。(2）主机PC1发送ARP请求信息，ARP请求是目的地址为MAC广播地址（FF-FF-FF-FF-FF-FF）的MAC地址广播帧，从而保

6、证所有的设备都能够收到该请求。在ARP请求信息中包好PC1的IP地址和MAC地址。(3）交换机收到广播地址后，发现为MAC地址广播，所以将数据帧从即除了接收口之外的所有接口转发出去。主机接收到数据帧后，进行IP地址的比较，如果目标IP地址与自己的IP地址不同，则其会丢弃这个数据包，而只有PC2这台主机会在自己的ARP表中缓存PC1的IP地址和MAC地址的对应关系，同时发送一个ARP应答，来告诉PC1自己的MAC地址（这个数据帧是单播）。(4）PC1在接收到这个回应的数据帧后，在自己的ARP表中添加PC2的IP地址和MAC地址的对应关系。在这个过程中，Switch交换机已经学习到了PC1和PC2

7、的MAC地址，之后传输数据时PC1和PC2之间使用单播方式。需要注意：ARP请求为广播，而ARP应答为单播。三、ARP攻击和ARP欺骗的原理：首先明确ARP攻击发送的是ARP应答，但是ARP应答中的MAC地址为虚假地址，所以在其他主机想要进行通信时，会将目的MAC地址设置成此虚假MAC地址导致无法正常通信。然后讲解ARP攻击的实施，一般情况下ARP攻击有两种方式：1、攻击主机制造假的ARP应答，并发送给局域网中除被攻击主机之外的所有主机，ARP应答中包含被攻击的主机的IP地址和虚假的MAC地址；2、攻击主机制造假的ARP应答，并发送给被攻击主机，ARP应答中包含除被攻击主机之外的所有主机的IP地址和虚假的MAC地址；例如：如果希望被攻击主机无法访问互联网，就需要对网关发送或被攻击主机发送虚假的ARP应答。当网关接收到虚假的ARP应答更新ARP条目后，如果网关再发生数据给PC1时，就会发送到虚假的MAC地址导致通信故障。