叶恒舟

摘要：ARP是计算机网络课程中的一个重要内容。亲自设计并验证ARP欺骗有利于学生深入认识ARP。采用GNS3模拟器、Wireshark及科来网络分析系统，构建了一个ARP欺骗原理教学实验平台，探讨了平台的构建与使用方法。该平台搭建便利、安全可靠。

关键词：ARP欺骗；教学实验平台；GNS3

中图分类号：G642.0 文献标志码：A 文章编号：1674-9324（2016）47-0275-02

ARP是一个重要的网络协议，在网络安全上也占据着举足轻重的位置。目前有关ARP协议教学，虽然广泛采用了多媒体课件教学的形式，很多学生仍然感觉较为抽象、空洞。构建合适的实验教学平台，让学生亲自动手观察验证ARP工作原理，特别是ARP欺骗原理，有利于学生加深对ARP协议的理解，加强对ARP欺骗的防范，也有利于培养学生的学习兴趣。但很多高校受制于实验设备数量、实验场地大小、安全类实验对正常网络的影响等因素，缺乏有效的ARP欺骗实验平台。

一、ARP欺骗实验平台选择

已经有很多机构或学者提出或构建了一些网络实验平台，这些平台大致可以归纳为如下几种：

1.真实环境下的实验平台构建。这种方案是利用真实PC机、交换机以及路由器来构建一个真实的实验平台。这种方案能够让学生得到最为真实的感受，但需要至少一台交换机、一台路由器和3台PC机，需要的投入较大，操作复杂度较高。

2.虚拟机环境下的实验平台构建。这种方案是利用虚拟机充当实验平台中的PC机和路由器来构建一个虚拟的实验平台。该平台可比较真实的演示ARP欺骗效果，资金耗费小，但需要对虚拟机相关知识十分了解，网络构建比较麻烦，且一台真实PC机上安装的虚拟机不宜过多。当出现异常时，不容易分辨是虚拟机的问题还是实验配置的问题。

3.模拟器环境下的实验平台构建。这种方案是利用网络模拟器（如Packet Tracer、GNS3[1]或eNSP[2]）中的资源来构建简单的实验平台。采用模拟器很容易搭建实验所需网络拓扑，可以方便的捕获与分析网络数据包，有些模拟器也可以直接观察网络数据包的流动情况，但模拟器往往存在一些不足。

受限于高校的实际条件，较为理想的ARP欺骗实验平台应该满足如下几个条件：①对硬件设备的要求较低，最好不需要路由器、交换机等较为贵重的设备；②能够有效观察ARP高速缓存的变化情况；③能够有效捕获与分析网络数据包，最好能够有效观察数据包的流动情况；④能够自定义ARP数据包，以便实施ARP欺骗；⑤尽量避免影响实验室网络安全。

因此，选择真实PC機与GNS3模拟器相结合构建ARP欺骗实验平台是比较合适的方案。该方案对硬件的要求低，所需要的软件是网络专业所常见的，开销相对较低，操作相当容易，可以把主机精力放在对ARP工作原理与欺骗原理的验证工作中；每个学生可以通过单机实验，不影响其他同学的实验或网络环境。

二、ARP欺骗实验平台构建

1.实验拓扑构建。图1显示了一种推荐的网络拓扑。其中主机1至3属于同一局域网络，主机4属于另一网络；交换机与路由器由GNS3模拟，主机1由GNS3与实验用的PC机桥接，主机2至4由GNS3模拟的路由器来充当。

主机1—4及路由器的IP地址及网关的配置参数如表1所示，子网掩码均为255.255.255.0，主机1-3的网关为10.1.1.1，主机4的网关为192.168.1.1。

2.实验设备配置。在实施ARP欺骗实验前，需要安装GNS3、Wireshark、科来网络分析系统等软件，并对网络拓扑中涉及的路由器、交换机、PC机进行配置。①对主机1进行配置。主机1是采用真机桥接方式加入到网络拓扑中，需要在GNS3中添加PC图标，桥接回环网卡，开启真机回环网卡，配置主机1的网络参数。②对主机2至4进行配置。这些主机由GNS3模拟的路由器充当，需要在GNS3中添加显示为PC图标的路由器，再为其选择插槽添加硬件接口（如NM-1FE-TX），最后为其配置网络参数。③对路由器进行配置。先在GNS3中添加路由器（如Router c3600），然后为其添加两块硬件接口（如NM-1FE-TX），最后为这两个硬件接口配置网络参数。典型的配置命令如下：

Router>enable //进入特权模式

Router#configure terminal //进入配置模式

Router（config） #interface f0/0 //进入F0/0接口

Router（config-if） #ip address 10.1.1.1 255.255.255.0//配置IP

Router（config-if） #no shutdown //开启接口

Router（config） #interface f1/0 //进入F1/0接口

Router（config-if） #ip address 192.168.1.1 255.255.255.0//配置IP

Router（config-if） #no shutdown //开启接口

Router#copy running-config startup-config //保存配置文件

三、ARP欺骗实验方法

ARP欺骗实验包括两种情况：一种是发送主机与目的主机位于同一局域网中的ARP欺骗，另一种是发送主机与目的主机位于不同局域网中ARP欺骗。下面以同一局域网的ARP欺骗为例介绍相应的实验方法。

ARP欺骗实验场景设计为：H2与H3通信，其中H2为发送方，H3为接收方；H1作为欺骗方冒充H2欺骗H3，以截取H3发送给H2的数据。实验步骤如下：（1）打开科来网络分析系统软件捕获流经H1的数据，打开Wireshark捕获从交换机到H3数据。（2）在H2上执行ping命令访问H3。用“show ip arp”命令查看并记录H3的ARP缓存。（3）此时，科来网络分析系统应该捕获到H2广播并到达H1的ARP请求数据包。选中其中一条ARP请求帧，右键点击“将数据包发送到数据生成器”弹出科来网络数据包生成器，将其中的源MAC地址设为H1的MAC地址，源IP地址设为H2的IP地址，目标MAC地址设为H3的MAC地址，目标IP地址设为H3的IP地址，并将更改后的数据包发送出去（在较短的时间内重复多次，以加强效果）。（4）用“show ip arp”命令查询H3的ARP缓存，发现ARP缓存被更新：H2的IP地址对应的MAC地址被更新成H1的MAC地址。（5）通过H2用ping命令访问H3，结果应该显示无法ping通。用Wireshark捕获交换机到H3链路上的数据包，通过观察发现H3不能接收H2发送的数据包；使用科来网络分析系统捕获的相关数据信息（即H1捕获的数据），通过观察发现H1能接收H2发送给H3的数据包。这表明，本来应该由H2发送给H3的数据包被发送给了H2，H1达到了预期的欺骗效果。

四、结论

本文介绍了一种综合运行GNS3、Wireshark包捕获软件及科来网络分析系统的ARP欺骗教学实验平台构建与实现方法，经济简单、安全可靠，在实际应用中取得了较好的效果。

参考文献：

[1]http：//www.gns3.net/.

[2]http：//www.huawei.com.