ARP欺騙与DNS欺骗.pptVIP

ARP欺骗与DNS欺骗 ARP简介 1.ARP简介 ARP（Address Resolution Protocol），即地址解析协议，是根据IP地址获取物理地址的一个TCP/IP协议。主机发送信息时将包含目标IP地址的ARP请求广播到网络上的所有主机，并接收返回消息，以此确定目标的物理地址；收到返回消息后将该IP地址和物理地址存入本机ARP缓存中并保留一定时间，下次请求时直接查询ARP缓存以节约资源。 ARP简介 某机器A要向主机B发送报文，会查询本地的ARP缓存表，找到B的IP地址对应的MAC地址后，就会进行数据传输。如果未找到，则A广播一个ARP请求报文（携带主机A的IP地址Ia——物理地址Pa），请求IP地址为Ib的主机B回答物理地址Pb。网上所有主机包括B都收到ARP请求，但只有主机B识别自己的IP地址，于是向A主机发回一个ARP响应报文。其中就包含有B的MAC地址，A接收到B的应答后，就会更新本地的ARP缓存。接着使用这个MAC地址发送数据（由网卡附加MAC地址）。因此，本地高速缓存的这个ARP表是本地网络流通的基础，而且这个缓存是动态的。 ARP欺骗 1) 什么是ARP欺骗？在局域网中，黑客经过收到ARP Request广播包，能够偷听到其它节点的 (IP, MAC) 地址, 黑客就伪装为A，告诉B (受害者) 一个假地址，使得B在发送给A 的数据包都被黑客截取，而A, B 浑然不知。 2) 为什么黑客能够进行ARP欺骗？ ARP 是个早期的网络协议，RFC826在 1980就出版了。早期的互联网采取的是信任模式，在科研、大学内部使用，追求功能、速度，没考虑网络安全。尤其以太网的洪泛特点，能够很方便的用来查询。但这也为日后的黑客开了方便之门。黑客只要在局域网内阅读送上门来的ARP Request就能偷听到网内所有的 (IP, MAC)地址。而节点收到ARP Reply时，也不会质疑。黑客很容易冒充他人 3) 能够防止欺骗吗？不能。但这种伤害的伤害已经很小。因为局域网的工作环境有了改变， 服务器通常不会和终端主机在同一个局域网。 ARP欺骗准备 相关软件下载： ARP攻击检测工具 局域网终结者 网络执法官 ARPsniffer嗅探工具 ARPsniffer使用原理： ARPsniffer:?在使用该工具时，它会将网络接口设置为混杂模式，该模式下工具可以监听到网络中传输的所有数据帧，而不管数据帧的目的地是自己还是其他网络接口的地址。嗅探器会对探测到的每一个数据帧产生硬件数据中断，交由操作系统处理，这样就实现了数据截获。 利用ARPsniffer嗅探数据 实验须先安装winpcap.exe它是arpsniffer.exe运行的条件，接着在arpsniffer.exe同一文件夹下新建记事本，输入Start cmd.exe ,保存为cmd.bat。ARPsniffer有很多种欺骗方式，下面的例子是其中的一种。 1.运行cmd.exe,依次输入以下命令： arpsf.exe -sniffall -o f:\sniffer.txt -g -t 1（其中IP地址：是局域网网关的地址，1是被欺骗主机的IP地址，试验获取的数据将会被输入到F盘的sniffer.txt文件中。）按回车键运行，出现如下图所示的选项，选1，接着选0，回车，程序便开始监听了。 2. 停止运行，打开sniffer.txt文件，在文件中查找，可以发现被欺骗主机的一些敏感信息，如下图：可以发现被欺骗主机注册某网站时的信息：username=netsec password。 局域网终结者使用原理 局域网终结者使用原理：一个主机接收到与自已相同IP发出的ARP请求就会弹出一个IP冲突框来。利用局域网终结者可以伪造任一台主机的IP向局域网不停地发送ARP请求，同时自已的MAC也是伪造的，那么被伪造IP的主机便会不停地收到IP冲突提示，致使该主机无法上网。这便构成了局域网终结者的攻击原理。 使用局域网终结者进行ARP欺骗 同样的，实验须先安装winpcap.exe，安装后运行局域网终结者软件（运行该软件须先退出某些安全防范软件如：360安全卫士，瑞星等。） 1. 运行软件后，将目标主机的IP地址加入欺骗列表，如图： 使用局域网终结者进行ARP欺骗 2.目标主机被欺骗，显示IP冲突，导致断网，在命令提示符窗口无法ping通网关。 ARP欺骗实际运用 3. 将目标主机的IP从阻断列表中移除后目标主机便会恢复正常工作。此时再次在命令提示符窗口ping网关IP便能通过了。 网络执法官使用原理： 网络执法官原理是通过ARP欺骗发给某台电脑有关假的网关IP地址所对应的MAC地址，使其找不到网关真正的MAC地址。 网络执法官的使用 3.接着进入受监控