ARP欺骗教学实验平台构建与实践.docVIP

ARP欺骗教学实验平台构建与实践 　　摘要：ARP是计算机网络课程中的一个重要内容。亲自设计并验证ARP欺骗有利于学生深入认识ARP。采用GNS3模拟器、Wireshark及科来网络分析系统，构建了一个ARP欺骗原理教学实验平台，探讨了平台的构建与使用方法。该平台搭建便利、安全可靠。 　　关键词：ARP欺骗；教学实验平台；GNS3 　　中图分类号：G642.0 文献标志码：A 文章编号：1674-9324（2016）47-0275-02 　　ARP是一个重要的网络协议，在网络安全上也占据着举足轻重的位置。目前有关ARP协议教学，虽然广泛采用了多媒体课件教学的形式，很多学生仍然感觉较为抽象、空洞。构建合适的实验教学平台，让学生亲自动手观察验证ARP工作原理，特别是ARP欺骗原理，有利于学生加深对ARP协议的理解，加强对ARP欺骗的防范，也有利于培养学生的学习兴趣。但很多高校受制于实验设备数量、实验场地大小、安全类实验对正常网络的影响等因素，缺乏有效的ARP欺骗实验平台。 　　一、ARP欺骗实验平台选择 　　已经有很多机构或学者提出或构建了一些网络实验平台，这些平台大致可以归纳为如下几种： 　　1.真实环境下的实验平台构建。这种方案是利用真实PC机、交换机以及路由器来构建一个真实的实验平台。这种方案能够让学生得到最为真实的感受，但需要至少一台交换机、一台路由器和3台PC机，需要的投入较大，操作复杂度较高。 　　2.虚拟机环境下的实验平台构建。这种方案是利用虚拟机充当实验平台中的PC机和路由器来构建一个虚拟的实验平台。该平台可比较真实的演示ARP欺骗效果，资金耗费小，但需要对虚拟机相关知识十分了解，网络构建比较麻烦，且一台真实PC机上安装的虚拟机不宜过多。当出现异常时，不容易分辨是虚拟机的问题还是实验配置的问题。 　　3.模拟器环境下的实验平台构建。这种方案是利用网络模拟器（如Packet Tracer、GNS3[1]或eNSP[2]）中的资源来构建简单的实验平台。采用模拟器很容易搭建实验所需网络拓扑，可以方便的捕获与分析网络数据包，有些模拟器也可以直接观察网络数据包的流动情况，但模拟器往往存在一些不足。 　　受限于高校的实际条件，较为理想的ARP欺骗实验平台应该满足如下几个条件：①对硬件设备的要求较低，最好不需要路由器、交换机等较为贵重的设备；②能够有效观察ARP高速缓存的变化情况；③能够有效捕获与分析网络数据包，最好能够有效观察数据包的流动情况；④能够自定义ARP数据包，以便实施ARP欺骗；⑤尽量避免影响实验室网络安全。 　　因此，选择真实PC机与GNS3模拟器相结合构建ARP欺骗实验平台是比较合适的方案。该方案对硬件的要求低，所需要的软件是网络专业所常见的，开销相对较低，操作相当容易，可以把主机精力放在对ARP工作原理与欺骗原理的验证工作中；每个学生可以通过单机实验，不影响其他同学的实验或网络环境。 　　二、ARP欺骗实验平台构建 　　1.实验拓扑构建。图1显示了一种推荐的网络拓扑。其中主机1至3属于同一局域网络，主机4属于另一网络；交换机与路由器由GNS3模拟，主机1由GNS3与实验用的PC机桥接，主机2至4由GNS3模拟的路由器来充当。 　　主机1―4及路由器的IP地址及网关的配置参数如表1所示，子网掩码均为，主机1-3的网关为，主机4的网关为。 　　2.实验设备配置。在实施ARP欺骗实验前，需要安装GNS3、Wireshark、科来网络分析系统等软件，并对网络拓扑中涉及的路由器、交换机、PC机进行配置。①对主机1进行配置。主机1是采用真机桥接方式加入到网络拓扑中，需要在GNS3中添加PC图标，桥接回环网卡，开启真机回环网卡，配置主机1的网络参数。②对主机2至4进行配置。这些主机由GNS3模拟的路由器充当，需要在GNS3中添加显示为PC图标的路由器，再为其选择插槽添加硬件接口（如NM-1FE-TX），最后为其配置网络参数。③对路由器进行配置。先在GNS3中添加路由器（如Router c3600），然后为其添加两块硬件接口（如NM-1FE-TX），最后为这两个硬件接口配置网络参数。典型的配置命令如下： 　　Routerenable //进入特权模式 　　Router#configure terminal //进入配置模式 　　Router（config） #interface f0/0 //进入F0/0接口 　　Router（config-if） #ip address //配置IP 　　Router（config-if） #no shutdown //开启接口 　　Router（config） #interface f1/0 //进入F1/0接口 　　Router（co