实验三ARP欺骗工具及原理分析.docVIP

实验：ARP欺骗工具及原理分析 实验目的 1.熟悉ARP欺骗攻击工具的使用2.熟悉ARP欺骗防范工具的使用3.熟悉ARP欺骗攻击的原理 实验准备 1.要求实验室内网络是连通的，组内每台计算机均可以访问另外一台计算机。2.下载相关工具和软件包(ARP攻击检测工具，局域网终结者，网络执法官，ARPsniffer嗅探工具)。 实验说明 本实验所介绍的工具软件使用起来都比较方便，操作起来也不是很难，但是功能或指令却不止一种，所以实验中只介绍其中的某一种用法。其他的则可触类旁通。 实验涉及到的相关软件下载： ARP攻击检测工具 局域网终结者网络执法官 ARPsniffer嗅探工具 ARP及ARP欺骗原理： ?ARP（Address Resolution Protocol）即地址解析协议，是一种将IP地址转化成物理地址的协议。不管网络层使用什么协议，在网络链路上传送数据帧时，最终还是必须使用硬件地址的。而每台机器的MAC地址都是不一样的，具有全球唯一性，因此可以作为一台主机或网络设备的标识。目标主机的MAC地址就是通过ARP协议获得的。 ?ARP欺骗原理则是通过发送欺骗性的ARP数据包致使接收者收到数据包后更新其ARP缓存表，从而建立错误的IP与MAC对应关系，源主机发送数据时数据便不能被正确地址接收。 ARPsniffer使用原理： ?在使用该工具时，它会将网络接口设置为混杂模式，该模式下工具可以监听到网络中传输的所有数据帧，而不管数据帧的目的地是自己还是其他网络接口的地址。嗅探器会对探测到的每一个数据帧产生硬件数据中断，交由操作系统处理，这样就实现了数据截获。 局域网终结者使用原理： ?一个主机接收到与自已相同IP发出的ARP请求就会弹出一个IP冲突框来。利用局域网终结者可以伪造任一台主机的IP向局域网不停地发送ARP请求，同时自已的MAC也是伪造的，那么被伪造IP的主机便会不停地收到IP冲突提示，致使该主机无法上网。这便构成了局域网终结者的攻击原理。 网络执法官使用原理： ?网络执法官原理是通过ARP欺骗发给某台电脑有关假的网关IP地址所对应的MAC地址，使其找不到网关真正的MAC地址。 实验内容一：利用ARPsniffer嗅探数据 实验须先安装winpcap.exe它是arpsniffer.exe运行的条件，接着在arpsniffer.exe同一文件夹下新建记事本，输入Start cmd.exe ,保存为cmd.bat。ARPsniffer有很多种欺骗方式，下面的例子是其中的一种。 1.运行cmd.exe,依次输入以下命令： arpsf.exe -sniffall -o f:\sniffer.txt -g 192.168.0.1 -t 192.168.0.91（其中IP地址：192.168.0.1是局域网网关的地址，192.168.0.91是被欺骗主机的IP地址，试验获取的数据将会被输入到F盘的sniffer.txt文件中。）按回车键运行，出现如下图所示的选项，选1，接着选0，回车，程序便开始监听了。 2. 停止运行，打开F盘的sniffer.txt文件，在文件中查找，可以发现被欺骗主机的一些敏感信息，如下图：可以发现被欺骗主机注册某网站时的信息：username=netsec password。 使用局域网终结者进行ARP欺骗 同样的，实验须先安装winpcap.exe，安装后运行局域网终结者软件（运行该软件须先退出某些安全防范软件如：360安全卫士，瑞星等。） 1. 运行软件后，将目标主机的IP地址加入欺骗列表，如下图： 2.目标主机被欺骗，显示IP冲突，导致断网，在命令提示符窗口无法ping通网关。 3. 将目标主机的IP从阻断列表中移除后目标主机便会恢复正常工作。此时再次在命令提示符窗口ping网关IP便能通过了。 网络执法官的使用 使用网络执法官，将所在的局域网中的用户列入管理列表，限制某用户权限，使其无法上网。 1.双击安装“网络执法官”，（安装后提示的winpcap也须安装），安装后即可进入网络执法官界面。 2.在右上角的“设置”选项中选择“监控范围”，弹出监控范围设置窗口，然后对监控范围进行设置：在“指定监控范围”栏中设置监控IP段，然后单击“添加/修改”按钮即将所选IP段加入监控列表，单击确定。 3.接着进入受监控IP列表（这里没有单独截图），在列表中右击某IP网卡信息所在行，选择“设定权限”，这里选择“发现该用户与网络连接即进行管理”，在该选项下面的选项中选择管理方式，然后再单击“确定”。 4.被设置权限主机无法上网，出现IP冲突提示，无法ping通网关。 5.关闭网络执法官或者将目标IP从管理列表中移除，目标主机即可恢复正常工作，可以ping通网关。 思考问题 1.实验中的工具