计算机科学与技术学院实验报告（电子版）

课程TCP/IP协议分析

实验名称ARP协议分析指导老师曹晶秀姓名学号 2 班级2011科技1班实验地点科技102 实验日期3月21日成绩

一、实验内容：

1、抓取ARP报文并进行数据报分析

2、学会ARP命令，运用命定对ARP内容进行修改

3、ARP安全与防护

二、实验目的：

1、学会抓取ARP报文，掌握ARP报文结构

2、掌握ARP命令，并且学会运用

3、了解ARP安全学会ARP防护

三、涉及实验的相关情况介绍（包含使用软件或实验设备等情况）：

装有网络抓包工具的计算机

四、程序清单与测试数据：

1、抓取ARP报文

如果要准确的抓取ARP数据包，及了解ARP的首次工作方式的话就要了解ARP命令a．打开windows系统里的命令提示符：win+r键，输入cmd确定，如图1：

ARP命令用法如图1：

图1 b．在命令提示符中输入arp -？查看信息如图2

图2

c．输入ipconfig/all查看本机ip和默认网关以及本机的MAC地址如图3:

图3

d．输入arp –a查看arp记录表如图4:

图4

e．打开抓包软件并测试能否正常工作如图5

图5

f．让软件一直在抓包中，arp –a查看arp缓冲表中是否有信息，如果有如图4的信息就要把arp缓冲清除目的是为了抓出不知道mac地址arp的报文，如图2信息可知清除arp缓冲的命令为arp –d *，然后在查看arp缓冲的信息如图6：

图6

g．当前转包软件还在运行，然后ping 网关192.168.12.1 广播抓取arp数据包如图7 ping网关：

图7

h ． 然后停止抓包，产看arp 数据包，源地址为192.168.12.3的包数据如图8出现成对的arp 数据包：

图8

2．通过上述过程我们抓到了arp 包，然后进行arp 数据包的分析 如图9是本机192.168.12.3发送给网关192.168.12.1的arp 数据包：

图9

广播地址

源MAC

帧类型

硬件类型 协议类型

硬件地址长度 目标MAC 请求类型

发送者物理地址

发送者IP 地址

接收者物理地址

接收者IP 地址

如图10是本机192.168.12.3接受网关192.168.12.1的arp数据包：

图10

3. ARP安全与防护

A. ARP的攻击原理：

ARP攻击就是通过伪造IP地址和MAC地址实现ARP欺骗，能够在网络中产生大量的ARP通信量使网络阻塞，攻击者只要持续不断的发出伪造的ARP响应包就能更改目标主机ARP缓存中的IP-MAC条目，造成网络中断或中间人攻击。

ARP攻击主要是存在于局域网网络中，局域网中若有一台计算机感染ARP木马，则感染该ARP木马的系统将会试图通过“ARP欺骗”手段截获所在网络内其它计算机的通信信息，并因此造成网内其它计算机的通信故障。

某机器A要向主机B发送报文，会查询本地的ARP缓存表，找到B的IP地址对应的MAC地址后，就会进行数据传输。如果未找到，则A广播一个ARP请求报文（携带主机A的IP地址Ia——物理地址Pa），请求IP地址为Ib的主机B回答物理地址Pb。网上所有主机包括B都收到ARP请求，但只有主机B识别自己的IP地址，于是向A主机发回一个ARP响应报文。其中就包含有B的MAC地址，A接收到B的应答后，就会更新本地的ARP缓存。接着使用这个MAC地址发送数据（由网卡附加MAC地址）。因此，本地高速缓存的这个ARP表是本地网络流通的基础，而且这个缓存是动态的。

B．ARP的防御，可以下载各种杀毒软件或是防火墙进行防御，也可以用ARP命令进行网关ip 与网关MAC的静态绑定如图11命令：

图11

如果电脑的系统是windows XP 可以命令ARP –s 192.168.12.1 a4-99-47-e7-79-15

如果电脑的系统是win 7可以用netsh -c "i i" add neighbors 14 192.168.12.1 a4-99-47-e7-79-15

绑定静态网关的ARP

五、实验结果、分析、体会等：

通过本次实验学会了抓包软件的部分功能，学会了ARP数据包的抓取，了解了ARP报文的结构学会了ARP命令的使用，了解了ARP攻击的原理，学会了简单的arp防御手段，通过实验加强了对arp数据的认识与理解