Laboratorium – Badanie protokołu ARP w wierszu poleceń systemu Windows, wierszu poleceń IOS oraz w programie Wireshark
Topologia
Tabela adresacji
Urządzenie
Interfejs
Adres IP
Maska podsieci
Brama domyślna
R1
G0/1
192.168.1.1
255.255.255.0
nie dotyczy
S1
VLAN 1
192.168.1.11
S2
192.168.1.12
PC-A
Karta sieciowa
192.168.1.3
PC-B
192.168.1.2
Cele
Część 1: Tworzenie i konfiguracja sieci
Część 2: Używanie polecenia ARP w systemie Windows
Część 3: Używanie polecenia show arp w systemie IOS
Część 4: Wykorzystywanie programu Wireshark do badania protokołu ARP
Scenariusz
Protokół ARP jest używany przez TCP/IP do odwzorowania adresu IP warstwy 3 na adres MAC warstwy 2. Gdy ramka jest przygotowywana do wysłania do sieci, to potrzebny jest docelowy adres MAC. W celu dynamicznego pozyskania adresu MAC docelowego urządzenia, protokół ARP wysyła zapytanie rozgłoszeniowe w sieci LAN. Urządzenie, które zawiera docelowy adres IP, zwraca odpowiedź, a adres MAC jest zapisywany w buforze ARP. Każde urządzenie w sieci posiada własną pamięć podręczną ARP (nazywaną w tym dokumencie buforem) albo mały obszar w pamięci RAM do przechowywania rezultatów operacji ARP. Licznik czasu bufora usuwa pozycje ARP, które nie były używane przez określony okres czasu.
ARP jest doskonałym przykładem skutecznego kompromisu wydajności. Gdyby protokół ARP nie miał bufora, to musiałby żądać translacji adresów za każdym razem, gdy ramka jest umieszczana w sieci. Wpływałoby to na zwiększenie opóźnienia w komunikacji i powodowałoby przeciążenie sieci. Nieograniczony czas przetrzymywania mógłby powodować błędy w przypadku urządzeń, których już nie ma w sieci lub w przypadku zmian adresu w warstwie 3.
Technik sieciowy musi mieć świadomość działania ARP, ale nie musi się nim regularnie zajmować. ARP jest protokołem, który umożliwia urządzeniom sieciowym komunikację z protokołami TCP/IP. Poza protokołem ARP nie istnieje inna efektywna metoda tworzenia adresu docelowego w datagramie warstwy 2. Z ARP związane jest jednak pewne ryzyko. Podszywanie się pod protokół ARP (ang. spoofing) albo zatruwanie (ang. poisoning) ARP to techniki wykorzystywane przez napastnika do wstawienia błędnego przyporządkowania adresu MAC w sieci. Jeżeli napastnik fałszuje adresy MAC urządzeń, to ramki są wysyłane do niepoprawnego adresu odbiorczego. Jednym ze sposobów obrony przed atakiem podszywania jest ręczne konfigurowanie statycznych odwzorowań ARP. Aby ograniczyć dostęp do sieci tylko dla upoważnionych urządzeń, można utworzyć listę autoryzowanych adresów MAC skonfigurowanych na urządzeniach Cisco.
W tym laboratorium będziesz korzystać z polecenia ARP w Windows i routerach Cisco, aby wyświetlić tablicę ARP. Możesz również wykasować zawartość bufora ARP i dodać statyczne wpisy ARP.
Uwaga: Routery używane w laboratorium to Cisco 1941 ISR (Integrated Services Routers) z oprogramowaniem Cisco IOS 15.2(4)M3 (obraz universalk9). Zastosowane w laboratorium przełączniki to Cisco Catalyst 2960 z oprogramowaniem Cisco IOS wersja 15.0(2) (obraz lanbasek9). Można używać innych routerów lub przełączników oraz wersji Cisco IOS. Zależnie od modelu urządzenia i wersji systemu IOS dostępne polecenia i wyniki ich działania mogą się różnić od prezentowanych w niniejszej instrukcji. Prawidłowe identyfikatory interfejsów znajdują się w tabeli Interfejsów routerów na końcu tej instrukcji.
Uwaga: Upewnij się, że konfiguracje routerów i przełączników zostały usunięte i nie mają konfiguracji startowej. Jeśli nie jesteś pewien, poproś o pomoc instruktora.
Wymagane wyposażenie
· 1 router (Cisco 1941 z oprogramowaniem Cisco IOS, wersja 15.2 (4) M3 obraz uniwersalny lub porównywalny)
· 2 przełączniki (Cisco 2960 z Cisco IOS Release 15.0(2) obraz lanbasek9 lub porównywalny)
· 2 komputery PC (Windows 7, Vista lub XP z emulatorem terminala, takim jak Tera Term oraz zainstalowanym programem Wireshark)
· Kable konsolowe do konfiguracji urządzeń Cisco przez port konsolowy
· Kable Ethernet zgodnie z pokazaną topologią
Uwaga: interfejsy Fast Ethernet w przełączniku Cisco 2960 mają włączony mechanizm automatycznego wykrywania typu kabla, więc oba przełączniki można połączyć za pomocą kabla prostego. Do łączenia innych modeli przełączników Cisco konieczne może być użycie kabla Ethernet z przeplotem (crossover).
Part 1: Budowa i konfiguracja sieci
Step 1: Połącz urządzenia zgodnie z topologią.
Step 2: Zgodnie z tabelą adresacji skonfiguruj adresy IP dla urządzeń.
Step 3: Z komputera PC-B sprawdź połączenie sieciowe za pomocą polecenia ping do wszystkich urządzeń.
Part 2: Używanie polecenia ARP w systemie Windows
Polecenie arp umożliwia użytkownikowi wyświetlenie i modyfikację bufora ARP w Windows. Dostęp do tego polecenia masz w wierszu poleceń systemu Windows.
Step 1: Wyświetl zawartość bufora ARP.
a. Otwórz okno wiersza poleceń w PC-A i wpisz arp.
C:\Users\User1> arp
Wyświetla i modyfikuje tablicę translacji IP na adresy
fizyczne, używane przez protokół rozróżniania adresów (ARP).
ARP -s inet_addr eth_addr [if_addr]
ARP -d inet_addr [if_addr]
ARP -a [inet_addr] [-N if_addr] [-v]
-a Wyświetla bieżące wpisy protokołu ARP przez odpytywanie bieżących
danych protokołu. Jeżeli parametr inet_addr jest podany,
to wyświetlony jest adres IP i fizyczny dla określonego komputera. Jeżeli
więcej niż jeden interfejs sieciowy korzysta z protokołu ARP, to wyświetlane są wpisy dla każdej
tabeli protokołu ARP.
-g To samo co -a.
-v Wyświetla bieżące wpisy protokołu ARP w trybie pełnym. Zostaną pokazane wszystkie
nieprawidłowe wpisy oraz wpisy interfejsu pętli zwrotnej.
inet_addr Określa adres internetowy.
-N if_addr Wyświetla wpisy protokołu ARP dla interfejsu sieciowego
określonego przez if_addr.
-d Usuwa hosta określonego przez inet_addr. W inet_addr można użyć symbolu
wieloznacznego * do usunięcia wszystkich hostów.
-s Dodaje hosta i kojarzy adres internetowy inet_addr
z fizycznym adresem internetowym eth_addr. Adres fizyczny jest
reprezentowany przez 6 szesnastkowych bajtów oddzielonych znakami łącznika. Wpis dokonywany jest
na stałe.
eth_addr Określa adres fizyczny.
if_addr Jeżeli jest określony, to wskazuje adres interfejsu,
którego tabela translacji powinna zostać zmieniona.
Jeżeli nie jest określony, zostanie użyty pierwszy odpowiadający interfejs.
Przykłady:
> arp -s 157.55.85.212 00-aa-00-62-c6-09 .... Dodaje zapis statyczny.
> arp -a .... Wyświetla tabelę arp.
b. Przeanalizuj wynik działania tego polecenia.
Które polecenie powinno być użyte do wyświetlenia wszystkich wpisów znajdujących się w buforze ARP?
____________________________________________________________________________________
Które polecenie powinno być użyte do skasowania wszystkich wpisów znajdujących się w buforze ARP (opróżnienie pamięci podręcznej ARP)?
Jakiego polecenia należy użyć, aby usunąć wpis z bufora ARP dla adresu 192.168.1.11?
c. Wpisz arp –a aby wyświetlić tabelę ARP.
C:\Users\User1> arp –a
Interfejs: 192.168.1.3 --- 0xb
Adres internetowy Adres fizyczny Typ
192.168.1.1 d4-8c-b5-ce-a0-c1 dynamiczne
192.168.1.255 ff-ff-ff-ff-ff-ff statyczne
224.0.0.22 01-00-5e-00-00-16 statyczne
224.0.0.252 01-00-5e-00-00-fc statyczne
239.255.255.250 01-00-5e-7f-ff-fa statyczne
Uwaga: Tablica ARP jest pusta, jeżeli używasz Windows XP (jak poniżej).
C:\Documents and Settings\User1> arp -a
Nie znaleziono wpisów ARP.
d. Wykonaj ping z komputera PC do komputera PC-A-B, w celu dodania dynamicznych wpisów do bufora ARP.
C:\Documents and Settings\User1> ping 192.168.1.2
192.168.1.2 00-50-56-be-f6-db dynamiczne
Jaki jest adres fizyczny dla hosta który ma adres IP 192.168.1.2?
Step 2: Skoryguj ręcznie wpisy znajdujące się w buforze ARP.
W celu usunięcia wpisów w buforze ARP wykonaj polecenie arp –d {inet-addr | *}. Adresy mogą być kasowane pojedynczo poprzez podanie adresu IP albo wszystkie zapisy mogą być skasowane za jednym razem po wykorzystaniu znaku *.
Upewnij się, czy bufor ARP zawiera następujące wpisy: R1 G0/1 bramę domyślną (192.168.1.1), PC-B (192.168.1.2) oraz oba przełączniki (192.168.1.11 i 192.168.1.12).
a. Wykonaj ping z komputera PC-A do wszystkich adresów znajdujących się w tabeli adresowania.
b. Sprawdź, czy wszystkie adresy zostały dodane do bufora ARP. Jeżeli adres nie znajduje się w buforze ARP, to wykonaj ping do adresu docelowego i upewnij się, że adres został dodany do bufora ARP.
192.168.1.11 0c-d9-96-e8-8a-40 dynamiczne
192.168.1.12 0c-d9-96-d2-40-40 dynamiczne
c. Przejdź do wiersza poleceń jako administrator. Kliknij ikonę Start a potem Wyszukaj programy i wpisz w polu cmd. Gdy pokaże się ikona cmd.exe, za pomocą prawego przycisku myszy wybierz Uruchom jako administrator. Kliknij Tak by pozwolić programowi na wykonanie zmian.
Uwaga: Dla użytkowników Windows XP nie jest wymagane posiadanie praw administratora by modyfikować wpisy w buforze ARP.
d. W oknie wiersza polecenia administratora wpisz arp-d *. To polecenie usuwa wszystkie wpisy z bufora ARP. Upewnij się, czy wszystkie wpisy w buforze ARP zostały usunięte za pomocą polecenia arp –a.
C:\windows\system32> arp –d *
C:\windows\system32> arp –a
e. Poczekaj kilka minut. Protokół Neighbor Discovery rozpoczął działanie by ponownie wypełnić bufor ARP.
...
muc13k