Szablon laboratorium, Wersja Studencka,Wymagane składniki

publicznie dostępne informacje firmy Cisco.

Strona 1 z 9

Laboratorium 9.8.1:

Protokół odwzorowania adresów ARP

Topologia sieci

Tabela adresacji

Urządzenie Interfejs Adres IP

Maska podsieci

Domyślna brama

R1-ISP

S0/0/0

10.10.10.6

255.255.255.252

Nie dotyczy

Fa0/0

192.168.254.253 255.255.255.0

Nie dotyczy

R2-Central

S0/0/0

10.10.10.5

255.255.255.252

Nie dotyczy

Fa0/0

172.16.255.254 255.255.0.0

Nie dotyczy

Serwer Eagle

Nie

dotyczy

192.168.254.254 255.255.255.0

192.168.254.253

Nie

dotyczy

172.31.24.254

255.255.255.0

Nie dotyczy

hostPod#A

Nie

dotyczy

172.16.Pod#.1

255.255.0.0

172.16.255.254

hostPod#B

Nie

dotyczy

172.16.Pod#.2

255.255.0.0

172.16.255.254

S1-Central

Nie

dotyczy

172.16.254.1

255.255.0.0

172.16.255.254

Kurs CCNA Exploration
Podstawy sieci komputerowych
Ethernet

Laboratorium: 9.8.1:

Protokół odwzorowania adresów ARP

publicznie dostępne informacje firmy Cisco.

Strona 2 z 9

Cele nauczania

Po zakończeniu tego ćwiczenia będziesz potrafił:

•

Wykorzystywać komendę arp w systemie Windows.

•

Wykorzystywać program Wireshark do badania wymiany ramek ARP.

Wprowadzenie

Protokół ARP (Address Resolution Protocol) jest wykorzystywany przez TCP/IP do mapowania adresu IP

warstwy 3 na adres MAC warstwy 2. Gdy ramka trafia do sieci, musi zawierać docelowy adres MAC. W

celu dynamicznego odkrycia adresu MAC docelowego urządzenia w sieci LAN rozgłaszane są żądania

ARP. Urządzenie, które zawiera docelowy adres IP, zwraca odpowiedź, a adres MAC jest zapisywany w

pamięci podręcznej ARP. Każde urządzenie w sieci utrzymuje własną pamięć podręczną ARP albo mały

obszar w pamięci RAM do przechowywania rezultatów operacji ARP. Licznik czasu pamięci podręcznej
usuwa pozycje

ARP, które nie były używane przez określony okres czasu. W zależności od urządzenia -

czasy te różnią się. Na przykład systemy operacyjne Windows przechowują wpisy w pamięci podręcznej

ARP przez 2 minuty. Jeżeli w tym czasie wpis zostanie użyty ponownie, to licznik czasu dla tego wpisu

jest zwiększany o 10 minut.
ARP jest doskonałym przykładem skutecznego kompromisu. Bez pamięci podręcznej, ARP musiałoby

żądać translacji adresów za każdym razem, gdy ramka jest umieszczana w sieci. Wpływałoby to na

zwiększenie opóźnienia w komunikacji i powodowałoby przeciążenie sieci. Natomiast nieograniczony

czas przetrzymywania może powodować błędy, gdy urządzenia będą usunięte z sieci albo zmienią adres
warstwy 3.

Inżynier sieciowy powinien być świadomy istnienia ARP, ale nie musi mieć z tym protokołem na co dzień

bezpośredniej styczności. ARP jest protokołem, który umożliwia urządzeniom sieciowym komunikację z

protokołami TCP/IP. Nie istnieje efektywna metoda (bez ARP) zbudowania datagramu zawierającego
docelowy adres wa

rstwy 2. Z ARP związane jest jednak pewne ryzyko. Podszywanie ARP (ang. spoofing)

- lub zatruwanie ARP (ang. poisoning) -

jest techniką wykorzystywaną przez napastnika do wprowadzenia

do sieci niepoprawnego odwzorowania adresu MAC. Napastnik fałszuje adres MAC urządzenia, po czym

ramki wysyłane są do niewłaściwego węzła odbiorczego. Jednym ze sposobów zapobiegania

podszywaniu się jest ręczne konfigurowanie statycznych odwzorowań ARP. Ostatecznie, autoryzowana

lista adresów MAC może być skonfigurowana na urządzeniach Cisco w celu ograniczenia dostępu do

sieci tylko przez zaaprobowane urządzenia.

Scenariusz

Na komputerze użyj komendy arp systemu Windows do zbadania zmian w zapisach w pamięci

podręcznej ARP.
W zadaniu 2, program Wireshark będzie używany do przechwycenia i analizy wymiany ramek pomiędzy

urządzeniami sieciowymi. Jeżeli na komputerze nie ma programu Wireshark, to można go pobrać ze
strony

}ftp://eagle-server.example.com/pub/eagle_labs/eagle1/chapter9/

plikwireshark-setup-0.99.4.exe

Kurs CCNA Exploration
Podstawy sieci komputerowych
Ethernet

Laboratorium: 9.8.1:

Protokół odwzorowania adresów ARP

publicznie dostępne informacje firmy Cisco.

Strona 3 z 9

Zadanie 1: Zastosowania komendy arp w systemie Windows.

Krok 1: Otwarcie okienka komend systemu Windows.

C:\> arp

Wyświetla i modyfikuje tablicę translacji IP na adres fizyczny
wykorzystyw

any przez protokół ARP.

ARP -s inet_addr eth_addr [if_addr]
ARP -d inet_addr [if_addr]
ARP -a [inet_addr] [-N if_addr]
-a

Wyświetla bieżące zapisy ARP poprzez odpytanie bieżących

danych protokołu Jeżeli parametr inet_addr jest podany, to

wyświetlony jest tylko adres IP i adres fizyczny tego

komputera. Jeżeli więcej niż jeden interfejs wykorzystuje

ARP, to wyświetlane są zapisy w każdej tablicy ARP.

-g

Tak samo jak -a.

inet_addr

Określa adres internetowy

-N if_addr

Wyświetla zapisy ARP dla interfejsu sieciowego podanego
przez parametr if_addr.

-d

Kasuje host podany przez parametr inet_addr. inet_addr może

być zastąpiony znakiem * w celu skasowania wszystkich
hostów.

-s

Dodaje hosta z odwzorowaniem adresu internetowego inet_addr
na adres fizyczny eth_addr. Adres fizyczny jest podawany
jako 6 bajtów szesnastkowych oddzielonych znakiem "-". Taki

zapis jest trwały.

eth_addr

Określa adres fizyczny.

if_addr

Jeżeli jest obecny, to określa adres internetowy
interfejsu, którego tablica translacji adresów powinn

a być

modyfikowana. Jeżeli nie jest obecny, to pierwszy dający

się zastosować interfejs jest używany.

Przykład:
> arp -s 157.55.85.212 00-aa-00-62-c6-09 .... Dodaje zapis statyczny.
> arp -a ....

Wyświetla tablicę ARP.

C:\>

Rysunek 1. Składnia komendy arp.

Otwórz okno terminala, klikając Start > Uruchom. Wpisz cmd, a następnie kliknij OK.
Komenda arp

wydana bez opcji wyświetli pomoc. Spójrz na Rysunek 1.

Wykonaj komendę arp na komputerze i zbadaj wynik działania.

3. Odp

owiedz na następujące pytania dotyczące komendy arp:

Która komenda powinna być użyta do wyświetlenia wszystkich zapisów z pamięci podręcznej
ARP (ARP cache)? ________________________________________

Która komenda powinna być użyta do skasowania wszystkich zapisów z pamięci podręcznej ARP
(flush ARP cache)? ________________________________________

Która komenda powinna być użyta do skasowania zapisu dotyczącego 172.16.255.254?
________________________________________

Kurs CCNA Exploration
Podstawy sieci komputerowych
Ethernet

Laboratorium: 9.8.1:

Protokół odwzorowania adresów ARP

publicznie dostępne informacje firmy Cisco.

Strona 4 z 9

Krok 2: Wykorzystanie komendy arp do z

badania lokalnej pamięci podręcznej ARP.

C:\> arp -a
Nie znaleziono wpisów ARP
C:\>

Rysunek 2. Pusta pamięć podręczna ARP

Bez jakiejkolwiek komunikacji pamięć podręczna ARP powinna być pusta. Taka sytuacja jest pokazana
na rysunku 2.

Wykonaj komendę, która wyświetli zapisy ARP. Jakie są rezultaty?

____________________________________________________________________________________

Krok 3: Wykorzystanie komendy ping do

dynamicznego dodania zapisów w pamięci podręcznej

ARP.

Komenda ping

może być użyta do testowania łączności w sieci. Przez osiągnięcie innego urządzenia,

odwzorowania ARP są dynamicznie dodane do pamięci podręcznej ARP.

C:\> ping 172.16.1.2
Badanie 172.1

6.1.2 z użyciem 32 bajtów danych:

Odpowiedź z 172.16.1.2: bajtów=32 czas<1ms TTL=128

Odpowiedź z 172.16.1.2: bajtów=32 czas<1ms TTL=128
Statystyka badania ping dla 172.16.1.2:

Pakiety: Wysłane = 4, Odebrane = 4, Utracone = 0 (0%

straty)

Szacunkowy czas przesyłania pakietów w obie strony w
milisekundach:

Minimum = 0ms, Maksimum = 0ms, Czas średni = 0ms

C:\>

Rysunek 3. Komenda ping do hosta

Użyj komendy ipconfig /all do zweryfikowania informacji z warstwy 2 i 3 komputera.

Wykonaj komendę ping do innego komputera pokazanego na rysunku 3. Rysunek 4 pokazuje

nowy zapis w pamięci podręcznej ARP.

C:\> arp -a
Interfejs: 172.16.1.1 --- 0x60004
Adres internetowy Adres fizyczny Typ
172.16.1.2 00-10-a4-7b-01-5f
dynamiczne
C:\>

Rysunek 4. Widok pamięci podręcznej ARP

Jak zapis ARP został dodany do pamięci podręcznej ARP? Wskazówka: przejrzyj kolumnę Typ
________________________________________

Jaki jest adres fizyczny hosta docelowego? ________________________________________

Kurs CCNA Exploration
Podstawy sieci komputerowych
Ethernet

Laboratorium: 9.8.1:

Protokół odwzorowania adresów ARP

publicznie dostępne informacje firmy Cisco.

Strona 5 z 9

Jaki jest fizyczny adres docelowego komputera?

Adres IP

Adres fizyczny

Jak pozyskany?

Nie generuj żadnego ruchu sieciowego do komputera wcześniej badanego. Odczekaj 2 do 3

minut i sprawdź pamięć podręczną ARP. Czy zawartość pamięci podręcznej ARP jest pusta?
__________

Wykonaj komendę ping do bramy R2-Central. Zbadaj zapis w pamięci podręcznej ARP. Jaki jest
fizyczny adres bramy? ________________________________________

Adres IP

Adres fizyczny

Jak pozyskany?

Wykonaj komendę ping do serwera Eagle, eagle-server.example.com. Zbadaj zapis w pamięci

podręcznej ARP. Jaki jest fizyczny adres aerwera Eagle?
________________________________________

____________________________________________________________________________

_____________________________________________________________________________

krok4: Ręcznie dostosuj zapisy w pamięci podręcznej ARP.
W celu skasowania zapisów w pamięci podręcznej ARP wykonaj komendę arp –d {inet-addr | *}.

Adresy mogą być kasowane pojedynczo przez specyfikację adresu IP albo wszystkie zapisy mogą być
skasowane za jednym razem po wykorzystaniu znaku *.

Zweryfikuj, czy pamięć podręczna ARP zawiera dwa zapisy: jeden dla bramy i jeden dla docelowego

komputera. Wydanie więcej niż jeden raz komendy ping w kierunku obu urządzeń spowoduje

przechowywanie zapisów przez około 10 minut.

C:\> arp –a
Interfejs: 172.16.1.1 --- 0x60004
  Adres internetowy Adres fizyczny Typ
  172.16.1.2 00-10-a4-7b-01-5f dynamiczne
  172.16.255.254 00-0c-85-cf-66-40 dynamiczne
C:\>
C:\>arp -d 172.16.255.254
C:\> arp -a
Interfejs: 172.16.1.1 --- 0x60004
  Adres internetowy Adres fizyczny Typ
  172.16.1.2   00-10-a4-7b-01-5f dynamiczne
C:\>

Rysunek 5. Manualne usuwanie zapisu z pamięci podręcznej ARP

Zobacz rysunek 5, który pokazuje jak ręcznie skasować zapis w pamięci podręcznej ARP.

Na Twoim komputerze najpierw zweryfikuj, że dwa zapisy są obecne. Jeżeli nie, to wydaj

komendę ping odpowiadającą brakującej pozycji.

Następnie skasuj zapis dla komputera.

3. Na koniec zweryfikuj wprowadzone zmiany.

Zapisz te dwa zapisy pamięci podręcznej ARP:

Kurs CCNA Exploration
Podstawy sieci komputerowych
Ethernet

Laboratorium: 9.8.1:

Protokół odwzorowania adresów ARP

publicznie dostępne informacje firmy Cisco.

Strona 6 z 9

Urządzenie

Adres IP

Adres fizyczny

Jak pozyskany?

Napisz komendę, która usunie wpisy dla hosta:
________________________________________

Wydaj tę komendę na Twoim komputerze. Zapisz pozostałe zapisy w pamięci podręcznej ARP:

Urządzenie Adres IP

Adres fizyczny

Jak pozyskany?

7. Usuwanie ws

zystkich zapisów. Napisz komendę, która skasuje wszystkie zapisy w pamięci

podręcznej ARP (ARP cache): ________________________________________

Wydaj komendę na Twoim komputerze pod i zbadaj zawartość pamięci podręcznej ARP

używając komendy arp -a. Wszystkie zapisy powinny być usunięte.
________________________________________

Weźmy pod uwagę bezpieczne środowisko, gdzie brama kontroluje dostęp do serwera WWW

zawierającego informacje ściśle tajne. Jakie jest zabezpieczenie ograniczające się do jednej
wars

twy, które może być zastosowane w stosunku do pamięci podręcznej ARP, które powinno

uniemożliwić atak podszywania się (ARP spoofing)?
________________________________________

10.

Zapisz komendę, która doda statyczny zapis ARP dla bramy w pamięci podręcznej ARP (ARP
cache): ________________________________________

11.

Zbadaj pamięć podręczna ARP powtórnie i wypełnij następującą tabelę:

Adres IP

Adres fizyczny

Typ

W następnym zadaniu program Wireshark będzie wykorzystany do przechwycenia i zbadania wymiany
ramek

ARP. Nie zamykaj okienka poleceń systemu Windows - będzie ono potrzebne do obejrzenia

zawartości pamięci podręcznej ARP.

Zadanie 2: Wykorzystaj program Wireshark do badania wymiany ramek ARP.

Krok 1: Skonfiguruj program Wireshark do przechwytywania pakietów.

Przygotuj program do przechwytywania.

1. Kliknij Capture > Options

2. Wybierz interfejs, który odpowiada sieci LAN.

Zaznacz pole wyboru, które sprawia, że lista pakietów będzie wyświetlana w czasie
rzeczywistym.

4. Kliknij Start.

Spowoduje to rozpoczęcie przechwytywania pakietów.

Krok 2: Przygotuj komputer do przechwytywania ramek ARP.

Jeżeli nie jest już gotowy, to otwórz okienko terminala systemu Windows przez kliknięcie Start >
Uruchom. Wpisz cmd i kliknij OK.

Kurs CCNA Exploration
Podstawy sieci komputerowych
Ethernet

Laboratorium: 9.8.1:

Protokół odwzorowania adresów ARP

publicznie dostępne informacje firmy Cisco.

Strona 7 z 9

Wyczyść pamięć podręczną ARP, co wymusi odtworzenie mapy adresów. Napisz komendę.

której użyłeś: ________________________________________

Krok 3: Przechwycenie i odkodowanie komunikacji ARP.

W tym kroku jedno zapytanie ping będzie wysłane do bramy i jedno do serwera Eagle. Następnie
przechwytywanie

ramek przez program Wireshark będzie zatrzymane, a komunikacje będzie

odkodowywana.

Wyślij jedno zapytanie ping do bramy używając komendy ping –n 1 172.16.255.254.

Wyślij jedno zapytanie ping do serwera Eagle używając komendy ping –n 1
192.168.254.254

Rysunek 6. Program Wireshark przechwytuje komunikację ARP

Zatrzymaj program Wireshark i rozkoduj komunikację. Powinieneś zobaczyć ekran programu

Wireshark podobny do pokazanego na rysunku 6. Okno programu Wireshark wyświetla liczbę
przechwyconych pakietów

. Okno szczegółów pakietu (Packet Details Window) pokazuje

zawartość ramek protokołu ARP.

Wykorzystując przechwycone ramki przez program Wireshark odpowiedz na następujące
pytania:

Jaki był pierwszy pakiet ARP? ________________________________________

ki był drugi pakiet ARP? ________________________________________

Wypełnij następującą tabelę korzystając z informacji z pierwszego pakietu ARP.

Pole

Wartość

Adres MAC nadawcy

Adres IP nadawcy

Docelowy adres MAC

Docelowy adres IP

Kurs CCNA Exploration
Podstawy sieci komputerowych
Ethernet

Laboratorium: 9.8.1:

Protokół odwzorowania adresów ARP

publicznie dostępne informacje firmy Cisco.

Strona 8 z 9

Wypełnij następującą tabelę korzystając z informacji z drugiego pakietu ARP.

Pole

Wartość

Adres MAC nadawcy

Adres IP nadawcy

Docelowy adres MAC

Docelowy adres IP

Jeżeli ramka Etherenet II dla zapytania ARP jest rozgłoszeniową, to dlaczego docelowy adres
MAC w r

amce ARP jest wypełniony cyframi

?_________________________________________________________________

Dlaczego nie zapytań ARP w przypadku użycia komendy ping do serwera Eagle?
____________________________

____________________________________________________________________________

_____________________________________________________________________________

Jak długo odwzorowanie adresów bramy powinno być przechowywane w pamięci podręcznej
ARP komputera pod? Dlaczego?

____________________________________________________________________________

_____________________________________________________________________________

Zadanie 3: Do przemyślenia

Protokół ARP odwzorowuje adres IP warstwy 3 na adres MAC warstwy 2. Jeżeli pakiet musi wędrować
poprzez sieci

, adres MAC warstwy 2 zmienia się przy przechodzeniu przez routery, a adres warstwy 3

pozostaje bez zmian.

Pamięć podręczna ARP przechowuje odwzorowania adresów. Jeżeli zapis był pozyskany dynamicznie, to

może być ewentualnie usunięty z tej pamięci. Jeżeli zapis był wprowadzony manualnie do pamięci

podręcznej ARP, to jest zapisem statycznym i będzie w tej pamięci pozostawał aż komputer zostanie

wyłączony, albo pamięć zostanie manualnie wyczyszczona.

Zadanie 4: Wyzwanie

Wykorzystując źródła zewnętrzne poszukaj informacji na temat podszywania się ARP. Przedyskutuj różne

techniki używane do wykonania takiego ataku.
Większość routerów bezprzewodowych wspiera bezprzewodowy dostęp do sieci. Używając tej techniki

adresy MAC, które mają zezwolenie na dostęp do sieci bezprzewodowej są manualnie dodawane do

routera bezprzewodowego. Wykorzystując źródła zewnętrzne przedyskutuj zalety konfigurowania

dostępu do sieci bezprzewodowych. Przedyskutuj sposoby, którymi napastnicy mogą pokonać takie
zabezpieczenia.

Zadanie 5: P

orządkowanie i zakończenie.

Program Wireshark jest zainstalowany na komputerach. Jeżeli istnieje konieczność odinstalowania

programu Wireshark, po kliknięciu w przycisk Start, wybierz Panel sterowania Otwórz

Dodaj lub usuń

Programy. Wybierz Wireshark, i kliknij

Usuń

Usuń pliki stworzone podczas zajęć.

Document Outline