ARP地址欺骗
硬件:交换机1台,路由器1台,计算机数台
软件:sniffer pro
1、掌握常见ARP欺骗类型和手段
2、掌握ARP协议工作原理和格式
3、掌握防范ARP地址欺骗的方法和措施
4、掌握Sniffer Pro软件的使用
1.安装sniffer软件。
2.使用sniffer软件抓去arp包。
3.修改抓取的包,重新发送。
4.验证是否完成ARP地址欺骗。
ARP工作原理
2.1 ARP工作过程
1) 首先﹐每一台主机都会在 ARP Cache中建立一个 ARP表格﹐用来记录 IP地址和MAC地址的对应关系。这个 Table的每一条信息会根据自身的存活时间递减而最终消失﹐以确保信息的真实性。
2) 当发送主机有一个封包要传送给目的主机并且获得目的主机的 IP 地址的时候﹐发送主机会先检查自己的 ARP表格中有没有与该 IP地址对应的MAC地址。如果有﹐就直接使用此地址来传送封包﹔如果没有﹐则向网络发出一个 ARP Request广播封包﹐查询目的主机的MAC地址。这个封包会包含发送端的 IP地址和MAC地址信息。
3) 这时﹐网络上所有的主机都会收到这个广播封包﹐会检查封包的 IP 栏位是否和自己的 IP 地址一致。如果不是则忽略﹔如果是则会先将发送端的MAC地址和 IP资料更新到自己的 ARP表格去﹐如果已经有该 IP的对应﹐则用新的信息覆盖原来的﹔然后再回应一个 ARP Reply封包给对方﹐告知发送主机关于自己的MAC地址﹔
4)当发送端接到 ARP Reply之后﹐也会更新自己的 ARP表格﹔然后就可以用此记录进行传送了。
5) 如果发送端没有得到 ARP Reply ﹐则宣告查询失败。
1)掌握常用的ARP常用命令
ARP命令:
功能:用于查看、添加和删除高速缓存区中的ARP表项
高速缓冲区中的ARP表项
动态表项:随时间推移自动添加和删除
静态表项:一直保留,直到人为删除或重新启动计算机
Windows 中ARP表项的潜在生命周期:10分钟
新表项加入时定时器开始计时
表项添加后两分钟内没有被再次使用:删除
表项被再次使用:增加2 分钟的生命周期
表项始终在使用:最长生命周期为10分钟
Arp –a // 查看计算机的ARP缓存
Arp –s 192.168.1.50 00-11-22-33-44-55 //将IP 地址192.168.1.50 和MAC 地址00-11-22-33-44-55静态绑定
Arp –d 192.168.1.50 //删除IP地址192.168.1.50 的静态绑定
Arp缓存中的IP地址和MAC地址的映射表是有生存期的,每过一段时间就会过期,这时则要重新获取MAC
地址。另外,当计算机重新启动时,ARP缓存表也会被清空。
2 )利用Sniffer Pro 捕获ARP 数据包并进行分析
(1)启动Sniffer Pro,选择要监听的网卡。(在实验室环境选择实际的网卡,不要选择虚拟网卡)。
图1 选择要监听的网卡
(2)登录该网卡
(3)点击开始,开始监听数据
(4)对照ARP格式,分析各字段的意思。
3)利用Sinffer Pro发送伪造的ARP数据包。
选择发送当前数据帧的按钮,如图所示
在这里我们要修改发送的数据帧。比如说,要想对某台主机192.168.1.1(转换成十六进制为c0 a8 01 01)欺骗,
将其MAC地址欺骗为00-11-22-33-44-55。也就是说,欺骗之后,网络上的计算机都认为IP地址为192.168.1.1 的主
机MAC地址为00-11-22-33-44。所以,当网络的主机要和192.168.1.1进行通信时,便发生了故障。
该欺骗的原理,就是冒充192.168.1.1 主机发出一个ARP 请求,那么网络上接收到该请求的计算机都会更
新本机的ARP表,从而获得一个错误的消息。
要发送的帧如下图。
大家在修改该帧的字段时,要对照ARP协议的报文格式来进行。
注意:如果192.168.1.1 为网关(路由器)的IP 地址,则该 操 作对网络来说会产生严重的后果,造成网络内
所有的计算机都不能连上Internet ,请勿在实验室以外的地方使用,否则后果自负。
这是针对网关的一种ARP欺骗,数据包是以广播的方式发送。
点击发送之后,再查看网络内各主机的ARP缓存表,会发现出现以下情况:
实验验证
E:\Documents and Settings\he>arp -a
Interface: 192.168.1.50 --- 0x2
Internet Address Physical Address Type
192.168.1.1 00-11-22-33-44-55 dynamic
从上面可以看到192.168.1.1 的MAC地址变成了一个错误的MAC地址。导致无法通信。
1、查找相关资料,了解ARP欺骗的发现和防范。
(一)ARP欺骗就是一种用于会话劫持***中的常见手法.地址解析协议(ARP)利用第2层物理MAC地址来映射第3层逻辑IP地址,如果设备知道了IP地址,但不知道被请求主机的MAC地址,它就会发送ARP请求.ARP请求通常以广播形式发送,以便所有主机都能收到。
在电信一般接终端的交换机都是2层交换机,交换原理是通过ip寻找对应的mac网卡地址,由于TCP/IP协议决定了只会通过mac寻址到对应的交换机的物理端口,所以才会遭到arp欺骗**。
ARP防范:
新建一个批处理文件,内容如下: @echo OFF arp -s 默认网关IP地址 网关的MAC地址 将这个批处理放到启动里。可以零时解决问题。
另外也有软件可以解决:
1、开启Anti ARP Sniffer 3,输入网关IP地址,点击〔枚取MAC〕
如你网关填写正确将会显示出网关的MAC地址.
2、点击 [自动保护] 即可保护当前网卡与网关的通信不会被第三方监听.
追踪ARP***者:
当局域网内有人试图与本机进行ARP欺骗,其数据会被Anti ARP Sniffer记录.请在欺骗数据详细记录表中选择需要追踪的行,然后点击〔追捕欺骗机〕,追捕过程中需要几分钟时间,如果该ARP地址是真实的,也快就能追捕到***者. (追捕ARP***者时需要停止自动保护)
(二)可以通过WinPcap来进行编程,实现数据包的伪造发送与接收。
本实验利用Sniffer捕获包,并且冒充所要攻击的主机发送伪造ARP数据包,数据包中将一个不存在的MAC地址与目的主机地址绑定,从而欺骗网络中的其他主机,导致无法正常通信,最终达到攻击的目的。通过本实验,通过基本操作方法步骤,理解了数据包欺骗的原理。对计算机网络有了进一步的学习。