葉恒舟

摘要：ARP是計算機網(wǎng)絡課程中的一個重要內容。親自設計并驗證ARP欺騙有利于學生深入認識ARP。采用GNS3模擬器、Wireshark及科來網(wǎng)絡分析系統(tǒng)，構建了一個ARP欺騙原理教學實驗平臺，探討了平臺的構建與使用方法。該平臺搭建便利、安全可靠。

關鍵詞：ARP欺騙；教學實驗平臺；GNS3

中圖分類號：G642.0 文獻標志碼：A 文章編號：1674-9324（2016）47-0275-02

ARP是一個重要的網(wǎng)絡協(xié)議，在網(wǎng)絡安全上也占據(jù)著舉足輕重的位置。目前有關ARP協(xié)議教學，雖然廣泛采用了多媒體課件教學的形式，很多學生仍然感覺較為抽象、空洞。構建合適的實驗教學平臺，讓學生親自動手觀察驗證ARP工作原理，特別是ARP欺騙原理，有利于學生加深對ARP協(xié)議的理解，加強對ARP欺騙的防范，也有利于培養(yǎng)學生的學習興趣。但很多高校受制于實驗設備數(shù)量、實驗場地大小、安全類實驗對正常網(wǎng)絡的影響等因素，缺乏有效的ARP欺騙實驗平臺。

一、ARP欺騙實驗平臺選擇

已經(jīng)有很多機構或學者提出或構建了一些網(wǎng)絡實驗平臺，這些平臺大致可以歸納為如下幾種：

1.真實環(huán)境下的實驗平臺構建。這種方案是利用真實PC機、交換機以及路由器來構建一個真實的實驗平臺。這種方案能夠讓學生得到最為真實的感受，但需要至少一臺交換機、一臺路由器和3臺PC機，需要的投入較大，操作復雜度較高。

2.虛擬機環(huán)境下的實驗平臺構建。這種方案是利用虛擬機充當實驗平臺中的PC機和路由器來構建一個虛擬的實驗平臺。該平臺可比較真實的演示ARP欺騙效果，資金耗費小，但需要對虛擬機相關知識十分了解，網(wǎng)絡構建比較麻煩，且一臺真實PC機上安裝的虛擬機不宜過多。當出現(xiàn)異常時，不容易分辨是虛擬機的問題還是實驗配置的問題。

3.模擬器環(huán)境下的實驗平臺構建。這種方案是利用網(wǎng)絡模擬器（如Packet Tracer、GNS3[1]或eNSP[2]）中的資源來構建簡單的實驗平臺。采用模擬器很容易搭建實驗所需網(wǎng)絡拓撲，可以方便的捕獲與分析網(wǎng)絡數(shù)據(jù)包，有些模擬器也可以直接觀察網(wǎng)絡數(shù)據(jù)包的流動情況，但模擬器往往存在一些不足。

受限于高校的實際條件，較為理想的ARP欺騙實驗平臺應該滿足如下幾個條件：①對硬件設備的要求較低，最好不需要路由器、交換機等較為貴重的設備；②能夠有效觀察ARP高速緩存的變化情況；③能夠有效捕獲與分析網(wǎng)絡數(shù)據(jù)包，最好能夠有效觀察數(shù)據(jù)包的流動情況；④能夠自定義ARP數(shù)據(jù)包，以便實施ARP欺騙；⑤盡量避免影響實驗室網(wǎng)絡安全。

因此，選擇真實PC機與GNS3模擬器相結合構建ARP欺騙實驗平臺是比較合適的方案。該方案對硬件的要求低，所需要的軟件是網(wǎng)絡專業(yè)所常見的，開銷相對較低，操作相當容易，可以把主機精力放在對ARP工作原理與欺騙原理的驗證工作中；每個學生可以通過單機實驗，不影響其他同學的實驗或網(wǎng)絡環(huán)境。

二、ARP欺騙實驗平臺構建

1.實驗拓撲構建。圖1顯示了一種推薦的網(wǎng)絡拓撲。其中主機1至3屬于同一局域網(wǎng)絡，主機4屬于另一網(wǎng)絡；交換機與路由器由GNS3模擬，主機1由GNS3與實驗用的PC機橋接，主機2至4由GNS3模擬的路由器來充當。

主機1—4及路由器的IP地址及網(wǎng)關的配置參數(shù)如表1所示，子網(wǎng)掩碼均為255.255.255.0，主機1-3的網(wǎng)關為10.1.1.1，主機4的網(wǎng)關為192.168.1.1。

2.實驗設備配置。在實施ARP欺騙實驗前，需要安裝GNS3、Wireshark、科來網(wǎng)絡分析系統(tǒng)等軟件，并對網(wǎng)絡拓撲中涉及的路由器、交換機、PC機進行配置。①對主機1進行配置。主機1是采用真機橋接方式加入到網(wǎng)絡拓撲中，需要在GNS3中添加PC圖標，橋接回環(huán)網(wǎng)卡，開啟真機回環(huán)網(wǎng)卡，配置主機1的網(wǎng)絡參數(shù)。②對主機2至4進行配置。這些主機由GNS3模擬的路由器充當，需要在GNS3中添加顯示為PC圖標的路由器，再為其選擇插槽添加硬件接口（如NM-1FE-TX），最后為其配置網(wǎng)絡參數(shù)。③對路由器進行配置。先在GNS3中添加路由器（如Router c3600），然后為其添加兩塊硬件接口（如NM-1FE-TX），最后為這兩個硬件接口配置網(wǎng)絡參數(shù)。典型的配置命令如下：

Router>enable //進入特權模式

Router#configure terminal //進入配置模式

Router（config） #interface f0/0 //進入F0/0接口

Router（config-if） #ip address 10.1.1.1 255.255.255.0//配置IP

Router（config-if） #no shutdown //開啟接口

Router（config） #interface f1/0 //進入F1/0接口

Router（config-if） #ip address 192.168.1.1 255.255.255.0//配置IP

Router（config-if） #no shutdown //開啟接口

Router#copy running-config startup-config //保存配置文件

三、ARP欺騙實驗方法

ARP欺騙實驗包括兩種情況：一種是發(fā)送主機與目的主機位于同一局域網(wǎng)中的ARP欺騙，另一種是發(fā)送主機與目的主機位于不同局域網(wǎng)中ARP欺騙。下面以同一局域網(wǎng)的ARP欺騙為例介紹相應的實驗方法。

ARP欺騙實驗場景設計為：H2與H3通信，其中H2為發(fā)送方，H3為接收方；H1作為欺騙方冒充H2欺騙H3，以截取H3發(fā)送給H2的數(shù)據(jù)。實驗步驟如下：（1）打開科來網(wǎng)絡分析系統(tǒng)軟件捕獲流經(jīng)H1的數(shù)據(jù)，打開Wireshark捕獲從交換機到H3數(shù)據(jù)。（2）在H2上執(zhí)行ping命令訪問H3。用“show ip arp”命令查看并記錄H3的ARP緩存。（3）此時，科來網(wǎng)絡分析系統(tǒng)應該捕獲到H2廣播并到達H1的ARP請求數(shù)據(jù)包。選中其中一條ARP請求幀，右鍵點擊“將數(shù)據(jù)包發(fā)送到數(shù)據(jù)生成器”彈出科來網(wǎng)絡數(shù)據(jù)包生成器，將其中的源MAC地址設為H1的MAC地址，源IP地址設為H2的IP地址，目標MAC地址設為H3的MAC地址，目標IP地址設為H3的IP地址，并將更改后的數(shù)據(jù)包發(fā)送出去（在較短的時間內重復多次，以加強效果）。（4）用“show ip arp”命令查詢H3的ARP緩存，發(fā)現(xiàn)ARP緩存被更新：H2的IP地址對應的MAC地址被更新成H1的MAC地址。（5）通過H2用ping命令訪問H3，結果應該顯示無法ping通。用Wireshark捕獲交換機到H3鏈路上的數(shù)據(jù)包，通過觀察發(fā)現(xiàn)H3不能接收H2發(fā)送的數(shù)據(jù)包；使用科來網(wǎng)絡分析系統(tǒng)捕獲的相關數(shù)據(jù)信息（即H1捕獲的數(shù)據(jù)），通過觀察發(fā)現(xiàn)H1能接收H2發(fā)送給H3的數(shù)據(jù)包。這表明，本來應該由H2發(fā)送給H3的數(shù)據(jù)包被發(fā)送給了H2，H1達到了預期的欺騙效果。

四、結論

本文介紹了一種綜合運行GNS3、Wireshark包捕獲軟件及科來網(wǎng)絡分析系統(tǒng)的ARP欺騙教學實驗平臺構建與實現(xiàn)方法，經(jīng)濟簡單、安全可靠，在實際應用中取得了較好的效果。

參考文獻：

[1]http：//www.gns3.net/.

[2]http：//www.huawei.com.