ARP欺騙工具及原理分析

1、ARP欺騙工具及原理分析一、實驗目的1 .熟悉ARP欺騙攻擊工具的使用2 .熟悉ARP欺騙防范工具的使用3 .熟悉ARP欺騙攻擊的原理二、實驗準備1 .要求實驗室內網絡是連通的，組內每臺計算機均可以訪問另外一臺計算機。2 .下載相關工具和軟件包(ARP攻擊檢測工具，局域網終結者，網絡執(zhí)法官，ARPsniffer嗅探工具)。三、實驗說明本實驗所介紹的工具軟件使用起來都比較方便，操作起來也不是很難，但是功能或指令卻不止一種，所以實驗中只介紹其中的某一種用法。其他的則可"觸類旁通"。四、實驗涉及到的相關軟件下載：ARP攻擊檢測工具局域網終結者網絡執(zhí)法官ARPsniffer嗅探工具

2、五、實驗原理1、 ARP及ARP欺騙原理：ARP(AddressResolutionProtocol)即地址解析協(xié)議，是一種將IP地址轉化成物理地址的協(xié)議。不管網絡層使用什么協(xié)議，在網絡鏈路上傳送數據幀時，最終還是必須使用硬件地址的。而每臺機器的MAC地址都是不一樣的，具有全球唯一性，因此可以作為一臺主機或網絡設備的標識。目標主機的MAC地址就是通過ARP協(xié)議獲得的。ARP欺騙原理則是通過發(fā)送欺騙性的ARP數據包致使接收者收到數據包后更新其ARP緩存表，從而建立錯誤的IP與MAC對應關系，源主機發(fā)送數據時數據便不能被正確地址接收。2、 ARPsniffer使用原理：在使用該工具時，它會將網絡接

3、口設置為混雜模式，該模式下工具可以監(jiān)聽到網絡中傳輸的所有數據幀，而不管數據幀的目的地是自己還是其他網絡接口的地址。嗅探器會對探測到的每一個數據幀產生硬件數據中斷，交由操作系統(tǒng)處理，這樣就實現(xiàn)了數據截獲。3、局域網終結者使用原理：一個主機接收到與自已相同IP發(fā)出的ARP請求就會彈出一個IP沖突框來。利用局域網終結者可以偽造任一臺主機的IP向局域網不停地發(fā)送ARP請求，同時自已的MAC也是偽造的，那么被偽造IP的主機便會不停地收到IP沖突提示，致使該主機無法上網。這便構成了局域網終結者的攻擊原理。4、網絡執(zhí)法官使用原理：網絡執(zhí)法官原理是通過ARP欺騙發(fā)給某臺電腦有關假的網關IP地址所對應的MAC地

4、址，使其找不到網關真正的MAC地址。六、實驗步驟實驗環(huán)境：如圖pr-PThacker實驗內容一：利用ARPsniffer嗅探數據實驗須先安裝winpcap.exe它是arpsniffer.exe運行的條件，接著在arpsniffer.exe同一文件夾下新建記事本，輸入Startcmd.exe，保存為cmd.bat。ARPsniffer有很多種欺騙方式，下面的例子是其中的一種。1.運行cmd.exe,：查看使用方法c-iC:.WTHrD0WS=ya!=：t.<»32,c,B4.cKeHicrosQftVlndoufCliX5,2版杈所有185-2003mcrcsoft3Pp.C；

5、?arpsniffer»exeARFSniffer13+5CHouterInside?,bynetKeesSpecialThanksHJXEycw*comZ4U2.securitv(?vip»sina.conNetworkAdapter。:Ir»telF>PBO/ltIMOHINetwot'hConnectionUsage：ArpSniffe<IP1><1P2><Sniffei-TCPPort><LojFil8><Netfidp>(/RESETJC；2.IP1、IP2：在交換環(huán)境中需要Sni

6、ffer的兩個IP。SnifferTCPPort:需要Sniffer的協(xié)議，例如110、21、23等。如果需要捕獲所有的數據包用*即可。LogFile:將Sniffer到的內容存入文件。在非交換環(huán)境中，所有的數據包都會被捕獲。例如的局域網，網關為,如果想捕獲22的80端口數據，可以這樣：、C-口匕工匕19Z.ISO.1.tlrIGO.1.ZZ2BO居tilHetuorkftdapter0：Intel(R>PRO/100BMTNetworkConnectionUsa9t：ArnSniffer<IP1><IP

7、2><SnifferTCPPot*t><LcwFlle><NetAdn>/RESET桂”l92-1&R_iJ/221力1,望I:HflRF'Cniffar舊.E(RouterInoida,bynotHo£pccIliankaDBH&y&a_tansceur.ai.na.con4eLtw*k0：Inlt：l<R>PRO/1000HTNtfLuui'kCumiectlunEahJje1f*ftouter-.UKXt192.16B.1.1Hardi際*eAddress：00-0c-29-c4?l-

8、9ajet192.16S.1.222HardwareAddress：003c2?-4a7b-c5jet192.L6B.1.111HardwareAddress：000c29-84b8-92Svaof19Z.L6S.1.222：MacofL=>Macof11>paof：Macot192.168.1,222=>Macof112,168.1.111tecfin£niFFei.目但區(qū)（胃維SiN發(fā)布巖埋金統(tǒng)-WindowsInternetExplorerZC:WIKEOTS=TStc.32；c.d.eze-orp

9、sxxiffcr.cxc2280I/.,0FT|BlHTTP/1.1200OKBate：Fri,21Aug201506：59：43GMTSei'ver：Mici*osoft-HS/6.0X-Pnwftred-By：ASP.NETContent-LengtZ424Content-Typo-toxtZhtnlCache-control«p>*1vcmo<htnl><head><metahttp-equiuContent-Type0contentaMtext/html；charset=gb2312H&g

10、t;<title雷馳新聞發(fā)布皆理系統(tǒng)今后臺管理人itle>“head<fraiwcactrows-M>«ucola-£rancapacing-010framcboi*dcr-0ycs°border-010bolrderculur-,tt4?478D,><fpanest*c=,'adnin_left.asp*nane=Mle£t°scrollin9=oN0Mnoreslze><fpanest*c=,adnin_center.aspwnane=,tnain0></franeset&

11、gt;<nofranes><hody></hndy></nnfi*anes>2.Ctrl+C停止運行，打開log.txt文件，在文件中查找，可以發(fā)現(xiàn)被欺騙主機的一些敏感信息，如下圖：可以發(fā)現(xiàn)被欺騙主機登錄某網站時的信息。文件電）編捐（1）查蕾9也就1）工具幫助®（J后退.，一搜索二件其htijrd)|rf-cxnC:VTIEDOI£=r名稱1大小1美型1修笈口期1國生_jDncuntuliandSeltkii文伸晃3013-4-1422.32口In也切曲文件央20155-E933二|Ft"丁斯Tiles文怦典2015

12、3-210J3.50X口附卜文坤英20155-21J1.22亡(IHHDO>S文件典2015-S-20J3.43JVNpilb爻怦亮anTT4ZZ：iBnpsiutttr.Ee51K3龍用程序30口2F=1ZZZ：3bAinend.l>£tJK3rfirdovsHi必理爻伴znlt-j-znJ0：Z7A名門所出口。吐.E3te6E4K5應用程序ZDDq-4-lZJZ：ZbAOxsmti.ese44K3四月程序2002-4-22!D：3hA-mlnin&|ini77>HTTP/1-156SIiDate：Fri,211Server'Hicituoc：iX

13、-Poueihed-By-IContent-LenjjtJiCoetent-Tiippe",he-cont-Fr1：=：|,Lae.txt：ZK3型式又西3016邛©汨:由A<font1ace-R,Sf<j/Sej*vtr.Mdijf.foilt<P><faintfacc。"來,Eio*r-tit-記事本文件口編輯4格式壹看w_幫助®n/jfient/4.G)>192116841.222(80>IPOST/JdPiin/chkloqin.aspHTTP/1.1Accept:inage/gif,nackv/aue-

14、Fiash,*ftcFeror:httpAccept-Lnguage:ztUser-figent:HozllliContent-Type:jppliAcuept-EncudinglHostrujuivj.liupanhArContent-Length:47Connection:Keep-ftLiueujciie-LZontroi:nn-cacheGoahie:ASPSESSIOHIDSSQF1CISQ-ELEPPGFDJOCMDBCNDBGHCPLI&Subnlt=E8B7+B6A8192 .168.1 .1 («0->192,168.1 .1adndn=mdnim&a

15、mp;passwoF(l=aidm:Ln(1881)IHTTP/1.15靦InternalServerErrorDdLe;Fr-j,21Auq?C1505;32:27GHTSorur:Hicrnsnffr-rl?/6.0K-Powered-By:ASP.MEIContent-Length;343content-lype:text/htmlCdchccontrol:private篩選http地址，我們就可以登錄他的網站了文件口編輯0）格式切查看9幫助®cclor-'i#FFFFFF,r>Enail:wokii21cn.con</Font></a>&

16、lt;Fontcolor-"*FFFFFF")查援一方向廣向上肉同下Q）UQ:-62-/-*，/th、</tr>程序制作部廠區(qū)分大小罵0</tr>愛鼓內等®i：hup<ybo(ly>22(196*)->152.16S.1.222(BO)IPOST/m*mln/chMlogi.n.m與pHTTP/1.1Accept:inage/(|if,image/jpeg,inagB/pjpeg,imige/pjpeg,application/x-Siiockuaue-flaht*/*iiLtpluyaugdii-c

17、na/dnmiii/ci砂山iiuqln.dEpIflccppt-lAngugp：zh-cnUser-figent:Mazilla/4.0(c口呷atible;MSIE8.0;UindousNT5J;Trident/4-0)Content-Tpe：applicatiun/x-ww-forn-urlentodedAccEpt-Encoding;gzipTdeflateHlnst:wniui.1iuanh4n,cc*nContent-Length:47Connection:Keep-ftliueCche-Cunlrul;nu-GdLhtfRfinkierASPSFSSinHTDIS(RDRTR=F

18、bRHCDAPIDIFDHNRIrKFAM實驗內容二：使用局域網終結者進行ARP欺騙同樣的，實驗須先安裝winpcap.exe,安裝后運行局域網終結者軟件（運行該軟件須先退出某些安全防范軟件如：360安全衛(wèi)士，瑞星等。）1.運行軟件后，將目標主機的IP地址加入欺騙列表，如下圖:2.目標主機被欺騙，顯示IP沖突，導致斷網，在命令提示符窗口無法ping通網關。Tind.»s-系紙精課n地址與網絡上的苴他系茨有沖突e匕nC:¥TNDO>Ssysie»32cBd.ezeG：DocuracntsandSettinsfsMAdminitrator>pin192-1

19、681«1Pinging192.168.1*1with32bvtesofdata：Reply fromKe ply Ft'omReply fromReply from192.lte.l.l!:=：bi/tes=22timelnsTTL=128bytes=22timelmsTTL=1.2Bbytes=32t：ime<lnsTTL=128bytes=32timc<lrtsTTL=128Pingstatisticsfor192.16B.1,1：Packets：Sent-4.Received-%Lost-0

20、<0M1q零容.Approximateroundtj'iptimesinmilli-seconds：Mininum=0msHxlmuin)=0ms,Auerage=0msC：M)ocunentsandSettinssMldministvatDr?ing192.169.1,1Piftging1?2._1.1with32Eytesofdata：Reqiuest;timedout.RequesttinedoutRpquesttimedout*Requesttinedout.tJing占tati占tic后fn*j,另2-16&_i_1:3.將目標主機的IP從阻斷列表中移除后目標主

21、機便會恢復正常工作。此時再次在命令提示符窗口ping網關IP便能通過了。實驗內容三：網絡執(zhí)法官的使用使用網絡執(zhí)法官，將所在的局域網中的用戶列入管理列表，限制某用戶權限，使其無法上網。1 .雙擊安裝“網絡執(zhí)法官”，（安裝后提示的winpcap也須安裝），安裝后即可進入網絡執(zhí)法官界面。2 .在右上角的“設置”選項中選擇“監(jiān)控范圍”，彈出監(jiān)控范圍設置窗口，然后對監(jiān)控范圍進行設置：在“指定監(jiān)控范圍”欄中設置監(jiān)控IP段，然后單擊“添加/修改”按鈕即將所選IP段加入監(jiān)控列表，單擊確定。監(jiān)控范圍選擇選擇網SiSllEthernet.Controlltr-數據包計劃程序微型端口可用的工P及子網掩電192168

22、1103zk：r5,5.8指定監(jiān)控范圉C工F"一步.二一-|訕一儂1.254如果酶了小統(tǒng)的網絡參數.了得且圈控網晚”中的海加/修改內容全部1粳出“，然后重行添加。所選定的監(jiān)控網段：本他工0掃描葩圉192,1&8.1.103192.1&G.1.-54DevicIff*自動運行取消諳手工操住.確定取消3 .接著進入受監(jiān)控IP列表（這里沒有單獨截圖），在列表中右擊某IP網卡信息所在行,選擇設定權限”，這里選擇發(fā)現(xiàn)該用戶與網絡連接即進行管理”，在該選項下面的選項中選擇管理方式，然后再單擊確定”。用戶/3網卡號：DO：13：20：4A：SD1DOIF：12

23、,168.1101主機電：般WHWTCZfiEEBT注釋：網卡生產廠寡不詳注意,請遵慣限定服務需、交狹機等網絡關鍵設備的根限？權限設定。可以使用任意參數/網絡屋接口©介許以指定的條件與網絡連接口1“工FF艮定|禁用以書口地址段內工P門保護口口口.。|口.口.口.口|工時疑限定I不允許使用以下時段Iooe.圉|一叵逅圖|和|口口：oa五|oo：ooC每周六禁止連播口衽周日禁止連接Q發(fā)現(xiàn)誣用尸與網絡浮接即進行營理.雄關建主機,育m能被禁止井后代理眠冬。|代理.首的式.注意，只有違反了以上較限的用戶，才懵以下設定進行管理。同產生工F沖突獸告禁.止與關鍵主機的TCF/口連接（但與本機的連接不

24、會斷開>關鍵主機：®禁止與所有苴它主機（含關建主機）的TCP/口連接（與本機的連接不叁國講一確定顛WC：DocumentsandSeEiny占、Wnf口營etAping192.i£8.1.1Pinninguith32bvtcsofdata：RequestCimed口ut.Requawttimedout.Requesttimedout-Retail色疊七timedout_Pinjfisticsfor192-16S.1.1：Packets：Sent=4,Received_0ALost_4<100zloss>5.關閉網絡執(zhí)法官或者將目標IP從管理列表中移除，目標主機即可