對一次ARP欺騙分析

一次ARP欺騙

1、   實驗目的：

1. 學習使用科來數據包生成器構造一個數據包
2. 經過一次ARP實驗，分析ARP報文格式

 

2、  實驗內容：

經過科來數據包生成器在A主機上僞造一個arp數據包，併發送出去，將B主機的網關Mac地址的緩存修改成A的Mac地址。

 

3、  實驗用到的工具

Wireshark、科來數據包生成器、如果在win七、8上還須要科來數據包播放器來發包（科來數據包生成器在win七、8上沒法使用發包功能）

 

4、  實驗平臺

本次實驗我是在虛擬機裏面作的，xp系統是我裝有數據包生成器的攻擊機，windows 2003是個人欺騙對象。

 

5、   實驗原理

同一局域網裏面的兩臺主機之間相互通訊是經過Mac地址尋址的，而若是兩臺主機若不是處於同一子網裏面，則在通訊的時候會相互將數據發送給各自的路由器網關，經過網關的IP尋址以達到通訊目的。可是網關和本身局域網裏面的主機通訊的時候仍是依靠Mac地址尋址的，因此若是咱們要把本身攻擊機僞形成網關達到欺騙做用，就應該把目標主機上的網關Mac地址緩存改成攻擊機的Mac地址（這就能夠經過僞造ARP報文來實現）。

 

正常狀況下數據包的發送：

 

 

   　　　　　　　　　　  

如圖：在正常的狀況下，處於兩個子網之間的A和E之間的通訊，會有A——>C——>D——>E。經過C和D這兩個路由器的網關聯通A和E。而如今實驗所要作的就是將這一步改成A——>B——>D——>E，將B僞形成網關，這樣一來全部從A到E的數據就都會經過B了，從而能夠分析出A的上網狀況，甚至是一些明文密碼。

僞造的狀況下：

 

 　　　　　　　　　　 

 

6、       實驗步驟

1. 經過在DOS命令下知道攻擊機的Mac地址和目標主機的Mac地址

目標主機windows 2003

 

　　　　　　　　

攻擊機xp

　　　　　　　　

 

由此可知目標主機windows2003上的IP是192.168.115.130

Mac地址是00:0C:29:29:9B:88

網關是：192.168.115.2

攻擊主機XP的IP是192.168.115.140

Mac地址是00:0C:29:CB:8F:C5

　　2.在還沒有發送僞造報文時目標主機上的網關Mac地址緩存

 　　　　　　　　

　　　3.開始僞造請求報文。在僞造的時候其實就是在B向A發送請求報文的基礎上將源IP地址改成網關的，以達到將B僞形成網關C的目的

 

目地A的mac

源B的Mac

目地A的IP

僞形成C的IP

 

      

 

 

　　　　4.假裝的包：

　　　　　　　　

 

因爲這是一個請求報文，因此目的主機的Mac地址未知。

　　　　5.實驗成功：

 　　　　　　　　　　

上面那個查的緩存是無法送ARP數據包以前的目標主機上的緩存，下面的是發送了包以後查看的，很明顯。Arp欺騙成功。

 

7、       實驗總結

經過這個實驗，在僞造數據包的時候更深入瞭解到了ARP報文的結構，在者就是認識到TCP/IP協議是至關不安全的，ARP報文能夠修改達到中間人劫持獲取用戶和密碼的目地，一樣經過DNS欺騙能夠製造釣魚網站竊取密碼，還能夠經過修改UDP報文僞造對話，這一切的不安全因素都是由於在傳輸過程當中任何人均可以截取、並且沒有認證機制，以致於任何人能夠爲所欲爲的修改它。

還有在實驗室的時候網卡有保護機制，致使了在欺騙一次成功以後，因爲網卡不斷的發送數據包，致使以後目標主機的arp緩存中的網關Mac地址恢復正常。一樣我在虛擬機的實驗中也遇到了。這個問題我將放在下一個文檔裏面用以記錄。

 

 

 

PS：不得不吐槽這個編輯器。。。。。。。。好吧，我從本身寫的文檔上覆制過來，格式都沒了。。。。。

從明天開始天天更一點Linux基礎，這幾天都有學一點linux的，但是比較忙，因此沒上傳上來，每個星期都會寫一個州總結，慢慢成長。

勿忘初心，方得始終。