文档介绍:实验 16 配置 ARP 检查
【实验名称】
配置 ARP 检查。
【实验目的】
使用交换机的 ARP 检查功能,防止 ARP 欺骗攻击。
【背景描述】
某企业的网络管理员发现最近经常有员工抱怨无法访问互联网,经过故障排查后,发现客
户端 PC 上缓存网关的 ARP 绑定条目是错误的,从该现象可以判断网络中可能出现了 ARP 欺
骗攻击,导致客户端 PC 不能获取正确的 ARP 条目,以至不能够访问外部网络。
【需求分析】
ARP 欺骗攻击是目前内部网络出现的最频繁的一种攻击。对于这种攻击,需要检查网络中
ARP 报文的合法性。交换机的 ARP 检查功能可以满足这个要求,防止 ARP 欺骗攻击。
【实验拓扑】
实验的拓扑图,如图 16-1 所示。
图 16-1
【实验设备】
交换机 1台
PC 机 2台(其中一台需要安装 ARP 欺骗攻击工具 WinArpSpoofer(测试用)
路由器 1台(作为网关)
【预备知识】
交换机转发原理、交换机基本配置、ARP 欺骗原理、ARP 检查原理。
【实验原理】
交换机的 ARP 检查功能,可以检查端口收到的 ARP 报文的合法性,并可以丢弃非法的 ARP
报文,防止 ARP 欺骗攻击。
【实验步骤】
步骤 1 配置 IP 地址,测试网络连通性。
按照拓扑图正确配置 PC 机、攻击机、路由器的 IP 地址,使用 ping 命令验证设备之间的连
通性,保证可以互通。查看 PC 机本地的 ARP 缓存,ARP 表中存有正确的网关的 IP 与 MAC
地址绑定,如图 16-2 所示。
图 16-2
步骤 2 在攻击机上运行 WinArpSpoofer 软件后,界面如图 16-3 所示。
图 16-3
在“ Adapter”选项卡中,选择正确的网卡后,WinArpSpoofer 会显示网卡的 IP 地址、掩码、
实验16 配置ARP检查·40·
网关、MAC 地址以及网关的 MAC 地址信息。
步骤 3 在 WinArpSpoofer 界面中选择“Spoofing”标签,打开“Spoofing”选项卡界面如
图 16-4 所示。
图 16-4
在“Spoofing”页面中,取消选中“Act as a Router(or Gateway)while spoofing.”选项。
如果选中,软件还将进行 ARP 中间人攻击。配置完毕后,单击“OK”按钮。
步骤 4 使用 WinArpSpoofer 进行扫描。
单击工具栏中的“Scan”按钮,软件将扫描网络中的主机,并获取其 IP 地址、MAC 地址
等信息,如图 16-5 所示。
图 16-5
步骤 5 进行 ARP 欺骗。
单击工具栏中的“Start”按钮,软件将进行 ARP 欺骗攻击,如图 16-6 所示。
实验16 配置ARP检查·41·
图 16-6
步骤 6 验证测试。
通过使用 Ethereal 捕获攻击机发出的报文,可以看出攻击机发送了经过伪造的 ARP 应答
(Reply)报文,目的 MAC 地址为 PC 机的 MAC 地址()。