1、ARP欺騙工具及原理分析一、實(shí)驗(yàn)?zāi)康? .熟悉ARP欺騙攻擊工具的使用2 .熟悉ARP欺騙防范工具的使用3 .熟悉ARP欺騙攻擊的原理二、實(shí)驗(yàn)準(zhǔn)備1 .要求實(shí)驗(yàn)室內(nèi)網(wǎng)絡(luò)是連通的，組內(nèi)每臺(tái)計(jì)算機(jī)均可以訪問另外一臺(tái)計(jì)算機(jī)。2 .下載相關(guān)工具和軟件包(ARP攻擊檢測(cè)工具，局域網(wǎng)終結(jié)者，網(wǎng)絡(luò)執(zhí)法官，ARPsniffer嗅探工具)。三、實(shí)驗(yàn)說明本實(shí)驗(yàn)所介紹的工具軟件使用起來都比較方便，操作起來也不是很難，但是功能或指令卻不止一種，所以實(shí)驗(yàn)中只介紹其中的某一種用法。其他的則可"觸類旁通"。四、實(shí)驗(yàn)涉及到的相關(guān)軟件下載：ARP攻擊檢測(cè)工具局域網(wǎng)終結(jié)者網(wǎng)絡(luò)執(zhí)法官ARPsniffer嗅探工具

2、五、實(shí)驗(yàn)原理1、 ARP及ARP欺騙原理：ARP(AddressResolutionProtocol)即地址解析協(xié)議，是一種將IP地址轉(zhuǎn)化成物理地址的協(xié)議。不管網(wǎng)絡(luò)層使用什么協(xié)議，在網(wǎng)絡(luò)鏈路上傳送數(shù)據(jù)幀時(shí)，最終還是必須使用硬件地址的。而每臺(tái)機(jī)器的MAC地址都是不一樣的，具有全球唯一性，因此可以作為一臺(tái)主機(jī)或網(wǎng)絡(luò)設(shè)備的標(biāo)識(shí)。目標(biāo)主機(jī)的MAC地址就是通過ARP協(xié)議獲得的。ARP欺騙原理則是通過發(fā)送欺騙性的ARP數(shù)據(jù)包致使接收者收到數(shù)據(jù)包后更新其ARP緩存表，從而建立錯(cuò)誤的IP與MAC對(duì)應(yīng)關(guān)系，源主機(jī)發(fā)送數(shù)據(jù)時(shí)數(shù)據(jù)便不能被正確地址接收。2、 ARPsniffer使用原理：在使用該工具時(shí)，它會(huì)將網(wǎng)絡(luò)接

3、口設(shè)置為混雜模式，該模式下工具可以監(jiān)聽到網(wǎng)絡(luò)中傳輸?shù)乃袛?shù)據(jù)幀，而不管數(shù)據(jù)幀的目的地是自己還是其他網(wǎng)絡(luò)接口的地址。嗅探器會(huì)對(duì)探測(cè)到的每一個(gè)數(shù)據(jù)幀產(chǎn)生硬件數(shù)據(jù)中斷，交由操作系統(tǒng)處理，這樣就實(shí)現(xiàn)了數(shù)據(jù)截獲。3、局域網(wǎng)終結(jié)者使用原理：一個(gè)主機(jī)接收到與自已相同IP發(fā)出的ARP請(qǐng)求就會(huì)彈出一個(gè)IP沖突框來。利用局域網(wǎng)終結(jié)者可以偽造任一臺(tái)主機(jī)的IP向局域網(wǎng)不停地發(fā)送ARP請(qǐng)求，同時(shí)自已的MAC也是偽造的，那么被偽造IP的主機(jī)便會(huì)不停地收到IP沖突提示，致使該主機(jī)無法上網(wǎng)。這便構(gòu)成了局域網(wǎng)終結(jié)者的攻擊原理。4、網(wǎng)絡(luò)執(zhí)法官使用原理：網(wǎng)絡(luò)執(zhí)法官原理是通過ARP欺騙發(fā)給某臺(tái)電腦有關(guān)假的網(wǎng)關(guān)IP地址所對(duì)應(yīng)的MAC地

4、址，使其找不到網(wǎng)關(guān)真正的MAC地址。六、實(shí)驗(yàn)步驟實(shí)驗(yàn)環(huán)境：如圖pr-PThacker實(shí)驗(yàn)內(nèi)容一：利用ARPsniffer嗅探數(shù)據(jù)實(shí)驗(yàn)須先安裝winpcap.exe它是arpsniffer.exe運(yùn)行的條件，接著在arpsniffer.exe同一文件夾下新建記事本，輸入Startcmd.exe，保存為cmd.bat。ARPsniffer有很多種欺騙方式，下面的例子是其中的一種。1.運(yùn)行cmd.exe,：查看使用方法c-iC:.WTHrD0WS=ya!=：t.<»32,c,B4.cKeHicrosQftVlndoufCliX5,2版杈所有185-2003mcrcsoft3Pp.C；

5、?arpsniffer»exeARFSniffer13+5CHouterInside?,bynetKeesSpecialThanksHJXEycw*comZ4U2.securitv(?vip»sina.conNetworkAdapter。:Ir»telF>PBO/ltIMOHINetwot'hConnectionUsage：ArpSniffe<IP1><1P2><Sniffei-TCPPort><LojFil8><Netfidp>(/RESETJC；2.IP1、IP2：在交換環(huán)境中需要Sni

6、ffer的兩個(gè)IP。SnifferTCPPort:需要Sniffer的協(xié)議，例如110、21、23等。如果需要捕獲所有的數(shù)據(jù)包用*即可。LogFile:將Sniffer到的內(nèi)容存入文件。在非交換環(huán)境中，所有的數(shù)據(jù)包都會(huì)被捕獲。例如的局域網(wǎng)，網(wǎng)關(guān)為,如果想捕獲22的80端口數(shù)據(jù)，可以這樣：、C-口匕工匕19Z.ISO.1.tlrIGO.1.ZZ2BO居tilHetuorkftdapter0：Intel(R>PRO/100BMTNetworkConnectionUsa9t：ArnSniffer<IP1><IP

7、2><SnifferTCPPot*t><LcwFlle><NetAdn>/RESET桂”l92-1&R_iJ/221力1,望I:HflRF'Cniffar舊.E(RouterInoida,bynotHo£pccIliankaDBH&y&a_tansceur.ai.na.con4eLtw*k0：Inlt：l<R>PRO/1000HTNtfLuui'kCumiectlunEahJje1f*ftouter-.UKXt192.16B.1.1Hardi際*eAddress：00-0c-29-c4?l-

8、9ajet192.16S.1.222HardwareAddress：003c2?-4a7b-c5jet192.L6B.1.111HardwareAddress：000c29-84b8-92Svaof19Z.L6S.1.222：MacofL=>Macof11>paof：Macot192.168.1,222=>Macof112,168.1.111tecfin£niFFei.目但區(qū)（胃維SiN發(fā)布巖埋金統(tǒng)-WindowsInternetExplorerZC:WIKEOTS=TStc.32；c.d.eze-orp

9、sxxiffcr.cxc2280I/.,0FT|BlHTTP/1.1200OKBate：Fri,21Aug201506：59：43GMTSei'ver：Mici*osoft-HS/6.0X-Pnwftred-By：ASP.NETContent-LengtZ424Content-Typo-toxtZhtnlCache-control«p>*1vcmo<htnl><head><metahttp-equiuContent-Type0contentaMtext/html；charset=gb2312H&g

10、t;<title雷馳新聞發(fā)布皆理系統(tǒng)今后臺(tái)管理人itle>“head<fraiwcactrows-M>«ucola-£rancapacing-010framcboi*dcr-0ycs°border-010bolrderculur-,tt4?478D,><fpanest*c=,'adnin_left.asp*nane=Mle£t°scrollin9=oN0Mnoreslze><fpanest*c=,adnin_center.aspwnane=,tnain0></franeset&

11、gt;<nofranes><hody></hndy></nnfi*anes>2.Ctrl+C停止運(yùn)行，打開log.txt文件，在文件中查找，可以發(fā)現(xiàn)被欺騙主機(jī)的一些敏感信息，如下圖：可以發(fā)現(xiàn)被欺騙主機(jī)登錄某網(wǎng)站時(shí)的信息。文件電）編捐（1）查蕾9也就1）工具幫助®（J后退.，一搜索二件其htijrd)|rf-cxnC:VTIEDOI£=r名稱1大小1美型1修笈口期1國生_jDncuntuliandSeltkii文伸晃3013-4-1422.32口In也切曲文件央20155-E933二|Ft"丁斯Tiles文怦典2015

12、3-210J3.50X口附卜文坤英20155-21J1.22亡(IHHDO>S文件典2015-S-20J3.43JVNpilb爻怦亮anTT4ZZ：iBnpsiutttr.Ee51K3龍用程序30口2F=1ZZZ：3bAinend.l>£tJK3rfirdovsHi必理爻伴znlt-j-znJ0：Z7A名門所出口。吐.E3te6E4K5應(yīng)用程序ZDDq-4-lZJZ：ZbAOxsmti.ese44K3四月程序2002-4-22!D：3hA-mlnin&|ini77>HTTP/1-156SIiDate：Fri,211Server'Hicituoc：iX

13、-Poueihed-By-IContent-LenjjtJiCoetent-Tiippe",he-cont-Fr1：=：|,Lae.txt：ZK3型式又西3016邛©汨:由A<font1ace-R,Sf<j/Sej*vtr.Mdijf.foilt<P><faintfacc。"來,Eio*r-tit-記事本文件口編輯4格式壹看w_幫助®n/jfient/4.G)>192116841.222(80>IPOST/JdPiin/chkloqin.aspHTTP/1.1Accept:inage/gif,nackv/aue-

14、Fiash,*ftcFeror:httpAccept-Lnguage:ztUser-figent:HozllliContent-Type:jppliAcuept-EncudinglHostrujuivj.liupanhArContent-Length:47Connection:Keep-ftLiueujciie-LZontroi:nn-cacheGoahie:ASPSESSIOHIDSSQF1CISQ-ELEPPGFDJOCMDBCNDBGHCPLI&Subnlt=E8B7+B6A8192 .168.1 .1 («0->192,168.1 .1adndn=mdnim&a

15、mp;passwoF(l=aidm:Ln(1881)IHTTP/1.15靦InternalServerErrorDdLe;Fr-j,21Auq?C1505;32:27GHTSorur:Hicrnsnffr-rl?/6.0K-Powered-By:ASP.MEIContent-Length;343content-lype:text/htmlCdchccontrol:private篩選http地址，我們就可以登錄他的網(wǎng)站了文件口編輯0）格式切查看9幫助®cclor-'i#FFFFFF,r>Enail:wokii21cn.con</Font></a>&

16、lt;Fontcolor-"*FFFFFF")查援一方向廣向上肉同下Q）UQ:-62-/-*，/th、</tr>程序制作部廠區(qū)分大小罵0</tr>愛鼓內(nèi)等®i：hup<ybo(ly>22(196*)->152.16S.1.222(BO)IPOST/m*mln/chMlogi.n.m與pHTTP/1.1Accept:inage/(|if,image/jpeg,inagB/pjpeg,imige/pjpeg,application/x-Siiockuaue-flaht*/*iiLtpluyaugdii-c

17、na/dnmiii/ci砂山iiuqln.dEpIflccppt-lAngugp：zh-cnUser-figent:Mazilla/4.0(c口呷atible;MSIE8.0;UindousNT5J;Trident/4-0)Content-Tpe：applicatiun/x-ww-forn-urlentodedAccEpt-Encoding;gzipTdeflateHlnst:wniui.1iuanh4n,cc*nContent-Length:47Connection:Keep-ftliueCche-Cunlrul;nu-GdLhtfRfinkierASPSFSSinHTDIS(RDRTR=F

18、bRHCDAPIDIFDHNRIrKFAM實(shí)驗(yàn)內(nèi)容二：使用局域網(wǎng)終結(jié)者進(jìn)行ARP欺騙同樣的，實(shí)驗(yàn)須先安裝winpcap.exe,安裝后運(yùn)行局域網(wǎng)終結(jié)者軟件（運(yùn)行該軟件須先退出某些安全防范軟件如：360安全衛(wèi)士，瑞星等。）1.運(yùn)行軟件后，將目標(biāo)主機(jī)的IP地址加入欺騙列表，如下圖:2.目標(biāo)主機(jī)被欺騙，顯示IP沖突，導(dǎo)致斷網(wǎng)，在命令提示符窗口無法ping通網(wǎng)關(guān)。Tind.»s-系紙精課n地址與網(wǎng)絡(luò)上的苴他系茨有沖突e匕nC:¥TNDO>Ssysie»32cBd.ezeG：DocuracntsandSettinsfsMAdminitrator>pin192-1

19、681«1Pinging192.168.1*1with32bvtesofdata：Reply fromKe ply Ft'omReply fromReply from192.lte.l.l!:=：bi/tes=22timelnsTTL=128bytes=22timelmsTTL=1.2Bbytes=32t：ime<lnsTTL=128bytes=32timc<lrtsTTL=128Pingstatisticsfor192.16B.1,1：Packets：Sent-4.Received-%Lost-0

20、<0M1q零容.Approximateroundtj'iptimesinmilli-seconds：Mininum=0msHxlmuin)=0ms,Auerage=0msC：M)ocunentsandSettinssMldministvatDr?ing192.169.1,1Piftging1?2._1.1with32Eytesofdata：Reqiuest;timedout.RequesttinedoutRpquesttimedout*Requesttinedout.tJing占tati占tic后fn*j,另2-16&_i_1:3.將目標(biāo)主機(jī)的IP從阻斷列表中移除后目標(biāo)主

21、機(jī)便會(huì)恢復(fù)正常工作。此時(shí)再次在命令提示符窗口ping網(wǎng)關(guān)IP便能通過了。實(shí)驗(yàn)內(nèi)容三：網(wǎng)絡(luò)執(zhí)法官的使用使用網(wǎng)絡(luò)執(zhí)法官，將所在的局域網(wǎng)中的用戶列入管理列表，限制某用戶權(quán)限，使其無法上網(wǎng)。1 .雙擊安裝“網(wǎng)絡(luò)執(zhí)法官”，（安裝后提示的winpcap也須安裝），安裝后即可進(jìn)入網(wǎng)絡(luò)執(zhí)法官界面。2 .在右上角的“設(shè)置”選項(xiàng)中選擇“監(jiān)控范圍”，彈出監(jiān)控范圍設(shè)置窗口，然后對(duì)監(jiān)控范圍進(jìn)行設(shè)置：在“指定監(jiān)控范圍”欄中設(shè)置監(jiān)控IP段，然后單擊“添加/修改”按鈕即將所選IP段加入監(jiān)控列表，單擊確定。監(jiān)控范圍選擇選擇網(wǎng)SiSllEthernet.Controlltr-數(shù)據(jù)包計(jì)劃程序微型端口可用的工P及子網(wǎng)掩電192168

22、1103zk：r5,5.8指定監(jiān)控范圉C工F"一步.二一-|訕一儂1.254如果酶了小統(tǒng)的網(wǎng)絡(luò)參數(shù).了得且圈控網(wǎng)晚”中的海加/修改內(nèi)容全部1粳出“，然后重行添加。所選定的監(jiān)控網(wǎng)段：本他工0掃描葩圉192,1&8.1.103192.1&G.1.-54DevicIff*自動(dòng)運(yùn)行取消諳手工操住.確定取消3 .接著進(jìn)入受監(jiān)控IP列表（這里沒有單獨(dú)截圖），在列表中右擊某IP網(wǎng)卡信息所在行,選擇設(shè)定權(quán)限”，這里選擇發(fā)現(xiàn)該用戶與網(wǎng)絡(luò)連接即進(jìn)行管理”，在該選項(xiàng)下面的選項(xiàng)中選擇管理方式，然后再單擊確定”。用戶/3網(wǎng)卡號(hào)：DO：13：20：4A：SD1DOIF：12

23、,168.1101主機(jī)電：般WHWTCZfiEEBT注釋：網(wǎng)卡生產(chǎn)廠寡不詳注意,請(qǐng)遵慣限定服務(wù)需、交狹機(jī)等網(wǎng)絡(luò)關(guān)鍵設(shè)備的根限？權(quán)限設(shè)定。可以使用任意參數(shù)/網(wǎng)絡(luò)屋接口©介許以指定的條件與網(wǎng)絡(luò)連接口1“工FF艮定|禁用以書口地址段內(nèi)工P門保護(hù)口口口.。|口.口.口.口|工時(shí)疑限定I不允許使用以下時(shí)段Iooe.圉|一叵逅圖|和|口口：oa五|oo：ooC每周六禁止連播口衽周日禁止連接Q發(fā)現(xiàn)誣用尸與網(wǎng)絡(luò)浮接即進(jìn)行營(yíng)理.雄關(guān)建主機(jī),育m能被禁止井后代理眠冬。|代理.首的式.注意，只有違反了以上較限的用戶，才懵以下設(shè)定進(jìn)行管理。同產(chǎn)生工F沖突獸告禁.止與關(guān)鍵主機(jī)的TCF/口連接（但與本機(jī)的連接不

24、會(huì)斷開>關(guān)鍵主機(jī)：®禁止與所有苴它主機(jī)（含關(guān)建主機(jī)）的TCP/口連接（與本機(jī)的連接不叁國講一確定顛WC：DocumentsandSeEiny占、Wnf口營(yíng)etAping192.i£8.1.1Pinninguith32bvtcsofdata：RequestCimed口ut.Requawttimedout.Requesttimedout-Retail色疊七timedout_Pinjfisticsfor192-16S.1.1：Packets：Sent=4,Received_0ALost_4<100zloss>5.關(guān)閉網(wǎng)絡(luò)執(zhí)法官或者將目標(biāo)IP從管理列表中移除，目標(biāo)主機(jī)即可