黑客学习-篡改攻击：基于Cain的ARP欺骗攻击与防范

网络攻击是指任何非授权而进入或试图进入他人计算机网络的行为，是入侵者实现入侵目的所采取的技术手段和方法

根据实施方法差异，分为主动攻击和被动攻击，主动攻击是指攻击者为了实现攻击目的，主动对需要访问的信息进行非授权的访问行为，被动攻击是利用网络存在的漏洞和安全缺陷对网络系统的硬件、软件及其系统中的数据进行的攻击

 篡改攻击是利用存在的漏洞破坏原有的机制，蓄意地修改、插入、删除、伪造、乱序和重放信息，以致形成虚假信息。

ARP（Address Resolution Protocol）：地址解析协议，是根据IP地址获取物理地址的一个TCP/IP协议，在底层网络协议中，发挥着及其重要的作用，物理地址是每一主机的唯一标识符（相当于我们的身份证）。

实验说明：

本次测试目的：通过Cain，进行MAC欺骗，修改靶机的MAc地址，并且通过PING测试，查看是否联网成功。

攻击机：windows server 2003 +cain     

靶机：windows server 2008

实验过程

一、ARP欺骗

（1）登录靶机服务器，获取IP地址、MAC地址和网关，查看ARP信息。

ipconfig /all 命令：查看所有查看ip地址、网关、MAC地址

arp -a ：查看所有接口的ARP缓存表

arp常用命令：
-a ：查看所有接口的ARP缓存表
-d：删除指定的IP地址
-g：和a作用一样
-N: 参数区分大小写
arp -s Ip 物理地址  静态绑定一个 ip和Mac地址的ARP报表

可以看出靶机的ip：192.168.1.107 

网关：192.168.1.1

MAC地址：00-0C-29-FC-D5-2F

1. 登录攻击机，运行Cain工具，绑定本地网卡，选择嗅探协议类型和对应端口号，配置ARP欺骗选项，设置嗅探的IP地址和MAC地址。

	IP地址	MAC地址
真实	192.168.1.103
嗅探信息	192.168.1.100	00-11-22-33-44-55

（3）启动嗅探，选择嗅探的目标对象。

范围：选择“All hosts in my subnet”,选择所有主机

​​​​​​​（4）、选择被欺骗的主机，开始欺骗操作。

​​​​​​​

​​​​​​​（5）登录靶机，检查是否欺骗成功，联网测试。

可以看到

被欺骗前的网关：192.168.1.1 对应的MAC地址：00-0C-29-FC-D5-2F

被欺骗之后，192.168.1.1 对应的MAC地址为00-11-22-33-44-55

已经成功进行欺骗

Ping是Windows、Unix和Linux系统下的一个命令，可以检查网络是否连通
Tracert（跟踪路由）跟踪 IP 数据包访问目标所经过的路径

​​​​​​​（6）测试捕获被欺骗主机的数据包

​​​​​​​二、ARP欺骗防范：静态绑定IP地址和MAC地址，静态绑定网关。

ARP欺骗防范很简单，就是把重要的ARP信息，改为静态，比如网关等，通过本次实验，动态ARP存在被欺骗的风险

netsh i i show in ：查看进行ARP绑定的网卡的idx编号

netsh -c i i add neighbors Idx编号 ip地址 mac地址：绑定ip地址和Mac地址，生成静态ARP信息

再次通过Cain嗅探，已经不能发现靶机