图解用Sniffer pro实现ARP攻击

用Sniffer pro 实现ARP 攻击

 

ARP 协议 ： ARP 协议是“ Address Resolution Protocol ”（地址解析协议）的缩写。在局域网中，网络中实际传输的是“帧”，帧里面是有目标主机的 MAC 地址的。在以太网中，一个主机和另一个主机进行直接通信，必须要知道目标主机的 MAC 地址。但这个目标 MAC 地址是如何获得的呢？它就是通过地址解析协议获得的。所谓“地址解析”就是主机在发送帧前将目标 IP 地址转换成目标 MAC 地址的过程。 ARP 协议的基本功能就是通过目标设备的 IP 地址，查询目标设备的 MAC 地址，以保证通信的顺利进行。

 

原理 ：ARP欺骗常见的分为两种，一种是对路由器的ARP表进行欺骗;另一种是

直接对目标进行欺骗。
第一种ARP欺骗原理是先获取网关的的数据，然后不断的通知路由器一

些错误的MAC地址。使路由器的更新和自身的学习赶不上欺骗的速度。
第二种ARP欺骗原理不是欺骗路由器，而是直接欺骗目标主机。通过不

断地向目标主机发送一些错误的ARP响应包来更换目标主机的MAC地址表

，使其不能找到正确的网关。  

 

现象 ：

1. 不断弹出“本机的 XXX 段硬件地址与网络中的 XXX 段地址冲突”的对话框。

2. 计算机不能正常上网，出现网络中断的症状，时断时续。根据对方发起攻击的频率。

 

实例 ：

 

一：试验环境

 

1.       我的试验环境清单:

   

      aizzw 为用 Sniffer pro 来攻击的电脑

      zzw123 为被攻击的电脑，这里用 360 自带的 ARP 防火墙侦测

 

   我这里先列出 IP 地址、 MAC 地址对应的十六进制详细清单。

 

 

二：手动制作ARP 攻击包

（我这里通过修改已有的包来实现攻击）

（一） ：为了在捕获的大量数据帧中便于识别，先搜集主机列表信息

1. 点击搜索，这里为了快速搜索到，输入该 IP 段

2. 正在搜索

3. 搜集到的主机列表

4. 编辑便于自己识别的名称

（二） ：定义过滤器，捕获数据包

1. 打开 Sniffer, 然后点击菜单栏中捕获菜单下的定义过滤器

.

2. 点击配置文件。

3. 点击新建

4. 用默认模板，给这个过滤器取个便于识别的名字。我这里为“ ARP 过滤”，点击好

5. 这时候就多了一个刚才添加的过滤文件，点击完成。

7. 选中“ Arp 过滤”，在高级页勾选 ARP 协议

8. 这时候在捕获条件下拉菜单中就多出了我刚才添加的那个过滤器，选中 ARP 过滤，点击开始捕获。

9. 这时候就可以看到面板下面显示捕获到的数据包数量

10. 先用 ARP �Ca 查看一下，发现有缓存。

   用 ARP �Cd 清空缓存,这里是为了得到ARP包。

11. 用 ping 命令 ping 要攻击的计算机 IP 以便得到 MAC 地址。

12. 捕获的到数据包以后点击停止并显示

13. 选择一个 ARP 响应包，我这里选择 aizzw 和 zzw123 的通讯包

14. 从下图可以看到源和目标 IP ，如下图的 00 -0c -29-52-48-b0 对应

IP192.168.0.120 ，计算机名 zzw123

14. 右击这一帧，选择发送当前帧

15. 在这一帧可以找到源 IP 和目标 IP ，注意这里都是以十六进制来显示，包括后面的修改也是以十六进制来修改。所以之前我的对应清单很有用哦

16 ．对应要改的 MAC 的地方

 

 

17. 发送延迟，以及发送该帧次数，修改好后点击确定。

更改细则：

数据链路层的更改：

源 MAC     改为    AIZZW 的 MAC

目标 MAC      改为    ZZW123 的 MAC

网络层的更改：

发送 MAC  改为 AIZZW 的 MAC

发送的 IP   改为网关的 IP （这里的网关为真是的网关 IP 地址，这里至关重要）

目标 MAC  改为 ZZW123 的 MAC

目标 IP     改为 ZZW123 的 IP

(细心的朋友会发现下面的这张图的就攻击方向看DLC层源和目标改反啦。具体哪，只有你亲身做了才知道)

（再提醒一次所有的更改都是十六进制，这个可以用系统自带计算器 calc 来换算。例 192.168.0.120 对应 c 0 a 8 00 78 ）

 

(三)侦测攻击

 

这时被攻击的计算机 ZZW123 的 ARP 防火墙侦测到了这一攻击，点击追踪攻击源 IP 可找到实际 ARP 攻击的发起者 aizzw 对应的 IP ，至此攻击完成。(如果不想追踪到自己是攻击的发起者，就不要用自己的真是MAC地址,我这里只是我的两台虚拟机试验)

最简单的方法就是用ARP -a查看网关的MAC地址和之前正常时的MAC地址是否一样，如果不一样就说明被欺骗了。

 

ARP防火墙检测结果(点击该图片查看清晰的原图)