对一次ARP欺骗分析

一次ARP欺骗

1、   实验目的：

1. 学习使用科来数据包生成器构造一个数据包
2. 经过一次ARP实验，分析ARP报文格式

 

2、  实验内容：

经过科来数据包生成器在A主机上伪造一个arp数据包，并发送出去，将B主机的网关Mac地址的缓存修改成A的Mac地址。

 

3、  实验用到的工具

Wireshark、科来数据包生成器、如果在win七、8上还须要科来数据包播放器来发包（科来数据包生成器在win七、8上没法使用发包功能）

 

4、  实验平台

本次实验我是在虚拟机里面作的，xp系统是我装有数据包生成器的攻击机，windows 2003是个人欺骗对象。

 

5、   实验原理

同一局域网里面的两台主机之间相互通讯是经过Mac地址寻址的，而若是两台主机若不是处于同一子网里面，则在通讯的时候会相互将数据发送给各自的路由器网关，经过网关的IP寻址以达到通讯目的。可是网关和本身局域网里面的主机通讯的时候仍是依靠Mac地址寻址的，因此若是咱们要把本身攻击机伪形成网关达到欺骗做用，就应该把目标主机上的网关Mac地址缓存改成攻击机的Mac地址（这就能够经过伪造ARP报文来实现）。

 

正常状况下数据包的发送：

 

 

   　　　　　　　　　　  

如图：在正常的状况下，处于两个子网之间的A和E之间的通讯，会有A——>C——>D——>E。经过C和D这两个路由器的网关联通A和E。而如今实验所要作的就是将这一步改成A——>B——>D——>E，将B伪形成网关，这样一来全部从A到E的数据就都会经过B了，从而能够分析出A的上网状况，甚至是一些明文密码。

伪造的状况下：

 

 　　　　　　　　　　 

 

6、       实验步骤

1. 经过在DOS命令下知道攻击机的Mac地址和目标主机的Mac地址

目标主机windows 2003

 

　　　　　　　　

攻击机xp

　　　　　　　　

 

由此可知目标主机windows2003上的IP是192.168.115.130

Mac地址是00:0C:29:29:9B:88

网关是：192.168.115.2

攻击主机XP的IP是192.168.115.140

Mac地址是00:0C:29:CB:8F:C5

　　2.在还没有发送伪造报文时目标主机上的网关Mac地址缓存

 　　　　　　　　

　　　3.开始伪造请求报文。在伪造的时候其实就是在B向A发送请求报文的基础上将源IP地址改成网关的，以达到将B伪形成网关C的目的

 

目地A的mac

源B的Mac

目地A的IP

伪形成C的IP

 

      

 

 

　　　　4.假装的包：

　　　　　　　　

 

因为这是一个请求报文，因此目的主机的Mac地址未知。

　　　　5.实验成功：

 　　　　　　　　　　

上面那个查的缓存是无法送ARP数据包以前的目标主机上的缓存，下面的是发送了包以后查看的，很明显。Arp欺骗成功。

 

7、       实验总结

经过这个实验，在伪造数据包的时候更深入了解到了ARP报文的结构，在者就是认识到TCP/IP协议是至关不安全的，ARP报文能够修改达到中间人劫持获取用户和密码的目地，一样经过DNS欺骗能够制造钓鱼网站窃取密码，还能够经过修改UDP报文伪造对话，这一切的不安全因素都是由于在传输过程当中任何人均可以截取、并且没有认证机制，以致于任何人能够为所欲为的修改它。

还有在实验室的时候网卡有保护机制，致使了在欺骗一次成功以后，因为网卡不断的发送数据包，致使以后目标主机的arp缓存中的网关Mac地址恢复正常。一样我在虚拟机的实验中也遇到了。这个问题我将放在下一个文档里面用以记录。

 

 

 

PS：不得不吐槽这个编辑器。。。。。。。。好吧，我从本身写的文档上复制过来，格式都没了。。。。。

从明天开始天天更一点Linux基础，这几天都有学一点linux的，但是比较忙，因此没上传上来，每个星期都会写一个州总结，慢慢成长。

勿忘初心，方得始终。