实验三：ARP欺骗工具及原理分析.docxVIP

实验三： ARP 欺骗工具及原理分析 一、实验目的 熟悉 ARP 欺骗攻击工具的使用 熟悉 ARP 欺骗防范工具的使用 熟悉 ARP 欺骗攻击的原理 二、实验准备 要求实验室内网络是连通的，组内每台计算机均可以访问另外一台计算机。 下载相关工具和软件包 (ARP 攻击检测工具，局域网终结者，网络执法官， ARPsniffer 嗅探工具 )。 三、实验说明 本实验所介绍的工具软件使用起来都比较方便， 操作起来也不是很难， 但是功能或指令 却不止一种，所以实验中只介绍其中的某一种用法。其他的则可 "触类旁通 " 。 四、实验涉及到的相关软件下载： ARP 攻击检测工具 局域网终结者 网络执法官 ARPsniffer 嗅探工具 五、实验原理 1、 ARP 及 ARP 欺骗原理： ARP( Address Resolution Protocol )即地址解析协议， 是一种将 IP 地址转化成物理地址 的协议。 不管网络层使用什么协议， 在网络链路上传送数据帧时， 最终还是必须使用硬件地 址的。而每台机器的 MAC 地址都是不一样的，具有全球唯一性，因此可以作为一台主机或 网络设备的标识。目标主机的 MAC 地址就是通过 ARP 协议获得的。 ARP 欺骗原理则是通过发送欺骗性的 ARP 数据包致使接收者收到数据包后更新其 ARP 缓存表，从而建立错误的 IP 与 MAC 对应关系，源主机发送数据时数据便不能被正确地址 接收。 2、 ARPsniffer 使用原理： 在使用该工具时，它会将网络接口设置为混杂模式，该模式下工具可以监听到网络中 传输的所有数据帧， 而不管数据帧的目的地是自己还是其他网络接口的地址。 嗅探器会对探 测到的每一个数据帧产生硬件数据中断，交由操作系统处理，这样就实现了数据截获。 3、局域网终结者使用原理： 一个主机接收到与自已相同 IP 发出的 ARP 请求就会弹出一个 IP 冲突框来。利用局域 网终结者可以伪造任一台主机的 IP 向局域网不停地发送 ARP 请求，同时自已的 MAC 也是 伪造的，那么被伪造 IP 的主机便会不停地收到 IP 冲突提示，致使该主机无法上网。这便构 成了局域网终结者的攻击原理。 4、网络执法官使用原理： 网络执法官原理是通过 ARP欺骗发给某台电脑有关假的网关 IP地址所对应的MAC地 址，使其找不到网关真正的 MAC地址。 六、实验步骤 实验内容一：利用 ARPsniffer嗅探数据 实验须先安装 winpcap.exe它是arpsniffer.exe运行的条件，接着在 arpsniffer.exe同一文 件夹下新建记事本，输入 Start cmd.exe，保存为cmd.bat。ARPsniffer有很多种欺骗方式，下 面的例子是其中的一种。 1.运行cmd.exe,依次输入以下命令： "arpsf.exe -sniffall -o f:\sniffer.txt -g -t 1"(其中 IP 地址： 是局域网网关的地址，1是被欺骗主机的IP地址，试验获取的数据将会被输入到 F盘的sniffer.txt文件中。)按回车键运行，出现如下图所示的选项，选 1,接着选0，回车， 程序便开始监听了。 2.停止运行，打开 F盘的sniffer.txt文件，在文件中查找，可以发现被欺骗主机的一些 敏感信息，如下图：可以发现被欺骗主机注册某网站时的信息：username=netsec password等。 I- ■ ■ n s — " v sn) ￡f er± tut - iE>事本 Lu ［囘鎚 丈件曲 髓朗 詰式(Q)登署过 帮助? TCP 192_MS71 —> r" aa Bytes 2104-8-12 SFregister. plipfistEcoifEueri * 27 9 g Casern a nt "set sec ftps 55 ■■rd* 112233 Mfc p^￡￡wrd2=112 23344&enai 1=J "°^Oquil * to■中 nul cod e=&ifsut)￡crilt)e=1 tque?tLvraid">&an5weru&nicknane-&geiidernew^Q&bday" IftVS-ll- vv&ioc4ti()nnew=&slte=&qq=&ii5n=Gicq=￡vdrtQ4=&t94|>a41=^^>P4V=GDi0=G5tyl ei dnew-ltt|i pnrv^Sfipppnew^VfttinevFFs?! nev^WV^&tin^^or ntnewH ? Matrf<rr nathetf= B&p Abound n*w=-iC5hDV?ail nt ■昨 魁 &urlavatar=&auacar ? idt