用Sniffer pro实现ARP攻击

用Sniffer pro 实现ARP 攻击

 

ARP 协议 ： ARP 协议是“ Address Resolution Protocol ”（地址解析协议）的缩写。在局域网中，网络中实际传输的是“帧”，帧里面是有目标主机的 MAC 地址的。在以太网中，一个主机和另一个主机进行直接通信，必须要知道目标主机的 MAC 地址。但这个目标 MAC 地址是如何获得的呢？它就是通过地址解析协议获得的。所谓“地址解析”就是主机在发送帧前将目标 IP 地址转换成目标 MAC 地址的过程。 ARP 协议的基本功能就是通过目标设备的 IP 地址，查询目标设备的 MAC 地址，以保证通信的顺利进行。

 

原理 ：正因为基于 ARP 协议的这一工作特性，黑客向对方计算机不断发送有欺诈性质的 ARP 数据包，数据包内包含有与当前设备重复的 Mac 地址，使对方在回应报文时，由于简单的地址重复错误而导致不能进行正常的网络通信。一般情况下，受到 ARP 攻击的计算机会出现两种现象：

 

现象 ：

1. 不断弹出“本机的 XXX 段硬件地址与网络中的 XXX 段地址冲突”的对话框。

2. 计算机不能正常上网，出现网络中断的症状，根据对方发起攻击的频率。

 

实例 ：

 

一：试验环境

 

1.       我的试验环境清单:

   

      aizzw 为用 Sniffer pro 来攻击的电脑

      zzw123 为被攻击的电脑，这里用 360 自带的 ARP 防火墙侦测

 

   我这里先列出 IP 地址、 MAC 地址对应的十六进制详细清单。

 

 

二：手动制作ARP 攻击包

（我这里通过修改已有的包来实现攻击）

（一） ：为了在捕获的大量数据帧中便于识别，先搜集主机列表信息

1. 点击搜索，这里为了快速搜索到，输入该 IP 段

2. 正在搜索

3. 搜集到的主机列表

4. 编辑便于自己识别的名称

（二） ：定义过滤器，捕获数据包

1. 打开 Sniffer, 然后点击菜单栏中捕获菜单下的定义过滤器

.

2. 点击配置文件。

3. 点击新建

4. 用默认模板，给这个过滤器取个便于识别的名字。我这里为“ ARP 过滤”，点击好

5. 这时候就多了一个刚才添加的过滤文件，点击完成。

7. 选中“ Arp 过滤”，在高级页勾选 ARP 协议

8. 这时候在捕获条件下拉菜单中就多出了我刚才添加的那个过滤器，选中 ARP 过滤，点击开始捕获。

9. 这时候就可以看到面板下面显示捕获到的数据包数量

10. 先用 ARP �Ca 查看一下，发现有缓存。

   用 ARP �Cd 清空缓存

11. 用 ping 命令 ping 要攻击的计算机 IP 以便得到 MAC 地址。

12. 捕获的到数据包以后点击停止并显示

13. 选择一个 ARP 响应包，我这里选择 aizzw 和 zzw123 的通讯包

14. 从下图可以看到源和目标 IP ，如下图的 00 -0c -29-52-48-b0 对应

IP192.168.0.120 ，计算机名 zzw123

14. 右击这一帧，选择发送当前帧

15. 在这一帧可以找到源 IP 和目标 IP ，注意这里都是以十六进制来显示，包括后面的修改也是以十六进制来修改。所以之前我的对应清单很有用哦

16 ．对应要改的 MAC 的地方

 

 

17. 发送延迟，以及发送该帧次数，修改好后点击确定。

更改细则：

数据链路层的更改：

源 MAC     改为    ZZW123 的 MAC

目标 MAC      改为    AIZZW 的 MAC

网络层的更改：

发送 MAC  改为 AIZZW 的 MAC

发送的 IP   改为网关的 IP （这里的网关为真是的网关 IP 地址，这里至关重要）

目标 MAC  改为 ZZW123 的 MAC

目标 IP     改为 ZZW123 的 IP

（再提醒一次所有的更改都是十六进制，这个可以用系统自带计算器 calc 来换算。例 192.168.0.120 对应 c 0 a 8 00 78 ）

 

(三)侦测攻击

 

这时被攻击的计算机 ZZW123 的 ARP 防火墙侦测到了这一攻击，点击追踪攻击源 IP 可找到实际 ARP 攻击的发起者 aizzw 对应的 IP ，至此攻击完成。(如果不想追踪到自己是攻击的发起者，就不要用自己的真是MAC地址,我这里只是我的两台虚拟机试验)

 

ARP防火墙检测结果(点击该图片查看清晰的原图)

本文出自 “ aizzw的网络世界” 博客，请务必保留此出处

本文出自 51CTO.COM技术博客