cain实现单目标ARP欺骗.docVIP

cain实现单目标ARP欺骗 一、 实验环境 一个路由器，一台安装了vmware的宿主机；一台安装了win2003操作系统的主机（虚拟机），并且安装嗅探软件cain作为发动ARP欺骗攻击的主机 路由器（网关） 192.168.1.50 发动ARP欺骗攻击的主机（安装在虚拟机上） 192.168.1.10 局域网上某台主机，安装了vmware软件 二、ARP欺骗过程 1、先在10号主机上查看下arp缓存表 Internet Address Physical Address Type 192.168.1.1 00-23-cd-19-e4-2a dynamic 192.168.1.50 00-0c-29-f6-1e-68 dynamic 得到了网关和50号主机正常的物理地址 2、在50号主机上安装嗅探软件Cain 3、运行cain,进行相关设置 （1）点configure进行配置，选择要嗅探的网卡 由于50号主机上只有一块网卡，默认确定就可以了 （2）点选工具栏中的网卡图标，之后选择sniffer页，再选择左下角的hosts,右键选择“scan MAC address” 点ok会自动扫描局域网中的存活主机 找到了10号主机和网关 （3）点ARP页 再点工具栏中的大加号 点OK 至此设置完毕 4、点击工具栏中第三个图标，开始欺骗 5、重新在10号主机中查看arp缓存表 会发现10号机器的arp缓存表中网关的物理地址变成了00-0c-29-f6-1e-68，而这个地址恰恰是发动arp欺骗的50号主机的物理地址 三、实验结论 Arp缓存表中网关对应的物理地址变成了50号主机的物理地址，这样局域网中其它主机和网关的通信（内网通信或访问外网）都变成了和50号主机的通信，达到了数据包截获和欺骗的目的。 其实，即使是外网向内网某台主机传递的信息也是首先传递给了50号机器，因此内网和外网的通信同样可以被50号机器截获。 四、思考 用cain实现arp欺骗为什么正常情况下不影响内网主机之间以及内网和外网之间的通信？ Cain不但实现了数据包截获，还同时有数据包转发功能，所以正常情况下不影响通信 四、ARP欺骗的防范 1、增加MAC地址与IP地址的静态映射（将IP地址与MAC地址绑定） Arp –s 192.168.1.1 00-23-cd-19-e4-2a 解绑 Arp –d 192.168.1.1 2、安装arp防火墙 五、深层次探讨—ARP欺骗危害 1、局域网主机之间无法正常通信 2、局域网主机无法访问外网 3、通过抓包软件抓包改包再发送到目的地，使得用户接收到虚假信息 4、可以造成基于ARP欺骗的网络嗅探，导致机密数据的泄漏 例如可以记录上网者的邮箱帐号和密码等 1