第6章实验报告测试ARP防火墙的主动防御功能.doc

BENET2.0 ENBM –第6章 实验时间 2010年 xx 月 xx 日 xx 时～ xx 时 实验人 xxx 实验名称 实验之二 ：测试ARP防火墙的主动防御功能 所属模块及课程 ENBM 第6章 实验目的 通过本实验，熟悉如何使用sniffer抓包软件抓取ARP防火墙发出的数据包，分析这些数据报文验证其工作原理 实验 拓扑 实验 环境 与 思路 实验环境： 需要三台虚拟机 Winxp-1 操作系统为winxp，网卡设在VMNet2，IP：192.168.0.14，工作组模式，在此主机上安装网络执法官软件， 特别提示： 网络执法官要安装在winxp操作系统上，破解版的程序无法运行在win2003操作系统上。 Win2003-1 操作系统为win2003，网卡设在VMNet2,IP:192.168.0.10,工作组模式，此主机充当网关 Win2003-2 操作系统为win2003，网卡设在VMNet2,IP:192.168.0.12，工作组模式，将网关指向192.168.0.10,即win2003-1。安装ARP防火墙软件和sniffer抓包软件。 此实验模拟的就是正常情况下win2003-2这台机能够和其网关win2003-1这台机通信，但在winxp-1上安装网络执法官后，通过“手动管理”阻止win2003-2与关键主机win2003-1的通信。在win2003-2上安装ARP防火墙后又能阻止网络执法官的攻击。我们通过抓取数据包来分析ARP防火墙的工作原理。 完成时间 45分钟 完成标准 在winxp-1上配置网络执法官攻击win2003-2，使其无法与win2003-1连通， 在win2003-2上开启ARP防火墙，能够防御网络执法官的攻击。 在win2003-2上开启sniffer抓包软件，抓包分析ARP防火墙的工作原理。 特别提示： 请一定要将win2003-2的网关指向win2003-1，否则ARP防火墙将无法阻止ARP攻击。也就是说通过设置网关，使ARP防火墙知道主机是要与哪台网关通信,ARP防火墙会对假冒网关的ARP回应包进行防御。 实验思路 在winxp-1上安装网络执法官 在win2003-2上安装ARP防火墙和sniffer抓包软件，暂时不开启ARP防火墙。并在win2003-2用ping命令测试与win2003-1的连通性正常，写出测试结果。 在winxp-1上配置网络执法官攻击win2003-2，使其无法与win2003-1连通，在win2003-2上用ping命令测试与win2003-1的连通性，写出测试结果。 在win2003-2上开启ARP防火墙，再用ping命令测试与win2003-1的连通性，出测试结果 在win2003-2上开启sniffer抓包软件，抓包分析ARP防火墙的工作原理。 实验步骤 在winxp-1上安装网络执法官 在win2003-2上安装ARP防火墙和sniffer抓包软件，暂时不开启ARP防火墙。 并在win2003-2用ping命令测试与win2003-1的连通性正常，写出测试结果。 在winxp-1上配置网络执法官攻击win2003-2，使其无法与win2003-1连通，在win2003-2上用ping命令测试与win2003-1的连通性，写出测试结果。 在win2003-2上开启ARP防火墙，并启动主动防御（将主动防御设置为始终启用）。再用ping命令测试与win2003-1的连通性，出测试结果，显示已经恢复通信了。 在win2003-2上开启sniffer抓包软件，抓包分析ARP防火墙的工作原理。 设置抓包选项，抓取win2003-1和win2003-2之间的通信。 注意：定义过滤器时设置过滤MAC，MAC地址为win2003-1和win2003-2的MAC地址。还要选择只过滤协议为ARP的数据包。(可不执行，有时会报错) 实验结果分析 实验结果：开启sniffer抓包后，打开ARP防火墙，这时可以抓到发来的ARP包其中包含有真实的网关MAC地址， 然后关闭防火墙，这时再抓包，会发现ARP包中包含了上级虚假的MAC地址，并通过arp –d ------arp –a后发现Win2003-2的ARP缓存中是虚假的MAC地址。 证明防火墙主动防御是发ARP广播包，发包的速度快过网络执法官发的假包则可以起到保护作用。 实验中遇到的问题及解决方法 组长签字：  7