使用Cain进行DNS劫持、ARP欺骗
抓包监听网络线路
1.监听网络线路进行高效的数据包分析的一个关键决策是在哪里放置数据包嗅探器,以恰当的捕获网络数据。
数据包分析师通常把这个过程称之为监听网络线路。
简而言之,将数据包嗅探器安置在网络上恰当的物理位置的过程。
但是嗅探数据包并不像将一台笔记本电脑连入网络中那么的简单。
安置嗅探器的挑战是考虑种类繁多的用来连接网络的硬件设备。
1.1.混杂模式混杂模式实际上是一种允许网卡能够查看到所有流经网络线路数据包的驱动模式。
网络设备上的网卡驱动会识别出这个数据包对于他们来说没有任何用处,于是将数据包丢弃,而不是传递给CPU进行处理。
将目标不是这台接收主机的数据包进行丢弃可以显著的提高网络处理性能,但是这对于数据包分析师来说不是个好消息。
作为分析师,我们通常哟啊线路上传输每一个数据包,这样我们才不会担心丢失任何关键的信息。
我们可以使用网卡的混杂模式来确保能捕获所以网络流量。
现在网卡一般都支持混杂模式。
1.2.在集线器的网络中进行嗅探在使用集线器连接的网络中进行嗅探,对于任何数据包分析师来说,都是一个梦想。
流经集线器的所有网络数据包都会被发送到每一个集线器的连接的端口。
要分析一台连接到集线器上的电脑的网络通信,所需要做的就是将数据包嗅探器连接到集线器的任意一个空闲端口。
令人遗憾的是,集线器网络已经是非常罕见了,因为集线器网络传输效率很低,已经基本被淘汰了。
1.3.在交换网络中进行嗅探交换机是现在网络环境中最常见的连接设备类型,通过广播、单播与多播方式传输数据提供了高效的方法,设备还可以同时发送和接收数据。
然后这给数据包嗅探带来了一些复杂的因素。
当你将嗅探器连接到交换机上的一个端口时,你将只能看到端口所属VLAN内的广播数据包,以及由你自己电脑传输与接收的数据包。
从一个交换式网络中从一个目标设备捕获网络流量的基本方法如下4钟:端口镜像,集线器接出,使用网络分流器,ARP欺骗攻击。
1.3.1.端口镜像端口镜像是在交换式网络中捕获一个目标设备所以网络通信最简单的方法。
我来黑GOOGLE,CAIN骗你没商量
网页 ,让整 个局 域 网 中的用 户打  ̄ G o l 网址 “ t : o ge ht / p / 择 自 己用来 嗅探 的网卡 ,一般 选择 正 确显 示 l地 址 的那 P
金 毒 系 清 专 2版 正 上 f 版 清 家 查杀 氓 功 的 础上 增 了 页 挂 等 Ne fn s 4 山 霸 统 理 家 本 式 线了 新 本 理专 在 流 软件 能 基 , 加 网 防 马 0 tr d 3 fe
树 中的 “ ARP—DNS” 项 目 ,再 在 右 边 的 窗 口列 表 空 白处点 击一 下 鼠标左 键 , 激 活 工 具 栏 上 的 黑 色 十 字 “ d t it Ad o Ls”按钮 。点击 该 按 钮 ,弹 出 新 建 DNS域 名欺 骗 对话框 ( 图9)。在 “ S Re u s me 如 DN q e tNa ” (请 求 DNS域 名 )中 填入 要 正 常访 问 的 网 站 ,这 里 为 Go gl的 网页 “ o e WWW.o geC ” ,然后在 “P A r s g o l.R I d e s
实用 功能.而且值得 一提 的是 加入 了独特 的电脑系统安全 评分系统。
维普资讯
个 ( 图5)。确 定后 关 如 闭 对 话 框 ,点 击 工 具 栏
上 的 “ trSo i” Sat tp Snf / 按 钮 。 再 选 择 下 方 的 “ i e ”选 项 页 ,点 Snf r f
g o l.t 中入 侵与 某大 网站 处 于 同一 网段 中的主 机后 ,进 行AR “ o ge hm”进 行 编辑 ,修 改成 自己黑过 的 网页 ,然 P 后 保存 网页 编辑修 改 。 域 名欺骗 ,从 而使 用攻 击的范 围扩 大到 整个 Itre 中 , ne n t 运 行 “ 雨 紫 而不仅 限于局 域 网中。 n 务 Can& Ab l 49.是 一个 图 形界 面 的黑 客攻 击 利 轩ASP Web E i e . 6 v
论文局域网ARP欺骗攻击及安全防范策略
发送伪造的ARP报 文
攻击者通过发送伪造的ARP报文 ,将错误的MAC地址映射到正 确的IP地址上。
监听数据流
攻击者监听目标主机与其他主机 或网络之间的数据流,并获取敏 感信息。
实施攻击
攻击者可实施多种攻击手段,如 中间人攻击、会话劫持等。
03
局域网ARP欺骗攻击的防范措施
静态ARP防范措施
静态ARP绑定
实验环境及工具
01
网络拓扑
构建包括路由器、交换机、PC等设备的局域网环境。
02
硬件设备
高性能计算机、网络交换机、路由器等。
03
软件工具
snort、winshark、kali linux等抓包和分析工具。
实验过程及结果
实验设备连接
将路由器、交换机、PC等设备连接在一起,形成 一个完整的局域网络。
数据包捕获
提醒用户谨慎使用公共网络
用户在使用公共网络时需要谨慎,不轻易使用未知来源的WiFi,避免在网络中泄露个人信息。
加强安全审计
建立安全审计制度
建立完善的安全审计制度,对网络安全事件进行记录和分析,发现并防范潜 在的安全威胁。
定期审计网络设备和软件
定期审计网络设备和软件的安全性,发现并修复可能存在的安全漏洞。
ARP欺骗攻击是一种网络安全攻击 技术,攻击者通过发送伪造的ARP 报文,使局域网内的设备无法正确 地寻址,从而达到非法访问或篡改 数据的目的。
VS
ARP欺骗攻击主要利用了ARP协议 的安全漏洞,使得攻击者可以在网 络中伪装成合法设备,进而进行各 种恶意行为。
ARP欺骗攻击的危害
1 2
拒绝服务攻击
通过检测网络中的ARP报文,及时发现ARP欺骗攻击,并采取防范措施。
arp欺骗原理及过程
arp欺骗原理及过程ARP欺骗原理及过程ARP(Address Resolution Protocol)是一种用于将IP地址映射到MAC地址的协议。
在局域网中,每个设备都有一个唯一的MAC地址,而IP地址则由路由器分配。
当一个设备需要与另一个设备通信时,它需要知道目标设备的MAC地址才能发送数据包。
这时候就需要使用ARP协议来获取目标设备的MAC地址。
ARP欺骗是一种网络攻击方式,攻击者利用ARP协议的工作原理伪造网络中某个设备的MAC地址,使得其他设备将数据包发送到攻击者指定的目标设备上,从而实现窃取信息、中间人攻击等恶意行为。
1. ARP协议工作原理在局域网中,每个设备都有一个唯一的IP地址和MAC地址。
当一个设备需要与另一个设备通信时,它首先会查询本地缓存中是否已经记录了目标IP地址对应的MAC地址。
如果没有找到,则会发送一个ARP请求广播包到整个网络中。
ARP请求广播包包含以下信息:- 源IP地址:发出请求广播包的设备IP地址- 源MAC地址:发出请求广播包的设备MAC地址- 目标IP地址:要查询MAC地址对应的目标IP地址- 目标MAC地址:广播包中填充0当其他设备收到ARP请求广播包时,会检查其中的目标IP地址是否与自己的IP地址匹配。
如果匹配,则会向请求广播包的设备发送一个ARP响应包,其中包含自己的MAC地址。
ARP响应包包含以下信息:- 源IP地址:响应广播包的设备IP地址- 源MAC地址:响应广播包的设备MAC地址- 目标IP地址:发出请求广播包的设备IP地址- 目标MAC地址:发出请求广播包的设备MAC地址当发出请求广播包的设备收到ARP响应包时,就可以将目标IP地址对应的MAC地址记录在本地缓存中,并开始与目标设备进行通信。
2. ARP欺骗原理在局域网中,每个设备都可以发送ARP请求和ARP响应。
攻击者可以利用这一点发送伪造的ARP响应数据包,欺骗其他设备将数据发送到攻击者指定的目标设备上。
局域网ARP欺骗和攻击解决方法
局域网ARP欺骗和攻击解决方法网络安全是目前关注度很高的点之一,其中一个网络攻击就是ARP欺骗攻击,现在已经成了破坏网吧经营的罪魁祸首,那ARP欺骗攻击如何解决呢?下面就由小编和大家说一下局域网ARP欺骗和攻击的的解决方法。
步骤如下:一、设置前准备1、当使用了防止ARP欺骗功能(IP和MAC绑定功能)后,最好是不要使用动态IP,因为电脑可能获取到和IP与MAC绑定条目不同的IP,这时候可能会无法上网,通过下面的步骤来避免这一情况发生吧。
2、把路由器的DHCP功能关闭:打开路由器管理界面,“DHCP 服务器”->“DHCP服务”,把状态由默认的“启用”更改为“不启用”,保存并重启路由器。
3、给电脑手工指定IP地址、网关、DNS服务器地址,如果您不是很清楚当地的DNS地址,可以咨询您的网络服务商。
二、设置防止ARP欺骗路由器1、具备这种一功能的路由器产品很多,下面我们以某一款路由器为例,设置路由器防止ARP欺骗。
打开路由器的管理界面可以看到如下的左侧窗口:2、可以看到比之前的版本多出了“IP与MAC绑定”的功能,这个功能除了可以实现IP和MAC绑定外,还可以实现防止ARP欺骗功能。
打开“静态ARP绑定设置”窗口如下:3、注意,默认情况下ARP绑定功能是关闭,请选中启用后,点击保存来启用。
打开“ARP映射表”窗口如下:4、这是路由器动态学习到的ARP表,可以看到状态这一栏显示为“未绑定”。
如果确认这一个动态学习的表没有错误,也就是说当时不存在arp欺骗的情况下(如果网络是正常运行的,而且不同的IP对应的MAC地址不一样,一般是没有错误的) ,我们把这一个表进行绑定,并且保存为静态表,这样路由器重启后这些条目都会存在,达到一劳永逸的效果。
点击“全部绑定”,可以看到下面界面:5、可以看到状态中已经为已绑定,这时候,路由器已经具备了防止ARP欺骗的功能,上面的示范中只有三个条目,如果您的电脑多,操作过程也是类似的。
cain使用教程
CAIN使用教程五月 11, 2011CAIN是一个WINDOWS平台上的破解各种密码,嗅探各种数据信息,实现各种中间人攻击的软件。
首先下载cain软件CAIN下有两个程序,一个是CAIN主程序,一个是Abel服务程序。
Abel服务程序需要手动进行安装。
正确安装CAIN后从CAIN目录下拷贝和到C:\Windows\System32目录下,运行安装,并在服务里设置为自动启动。
运行CAIN,主界面如图所示我们先来看看CAIN的几个大类的使用,大类页面如下图一.解密器:解密器的作用主要是读取缓存中保存的各种密码。
你可以点击左边的各选项然后点击上面的你就可以在右边的窗口看到保存在缓存中的密码。
我的电脑中我都看到了我MSN 的账号和密码,曾经登陆路由的账号和密码,邮箱的密码。
举例:点击左边的无线网络口令,再点击上面的在右边的窗口你可以看到你曾经正确使用过的无线的密码都保存在这里,如下图所示。
大家可以清楚的看到SSID和后面的密码。
二.网络这个网络主要用来鉴别各域控制器,SQLserver,打印服务,远程拨入,终端服务等。
网络的左侧用来浏览网络结构和连接远程主机。
连接到主机就可列出用户名,工作者,服务,共享资源等。
如下图,我们清楚的看到SMM-DB1开启了IPC$默认共享连接和文件夹共享。
同时也可以搜索到计算机的用户组和组的用户名,虽然NT版本以后不能建立空连接了,但是还是可以通过提取SID来获得Admin的账号,因为管理员的SID总是500。
如下图所示三.嗅探器(包含局域网的嗅探和ARP欺骗)嗅探器是CAIN的重点,很多人用CAIN主要就是用这个嗅探器和ARP欺骗。
CAIN 中的嗅探器,主要嗅探局域网内的有用信息,比如各类密码等。
CAIN中的ARP的欺骗,原理是操纵两台主机的ARP缓存表,以改变它们之间的正常通信方向,这种通信注入的结果就是ARP欺骗攻击,利用ARP欺骗可以获得明文的信息。
1.程序配置首先点击菜单的配置按钮出现下图所示的配置菜单首先选择用于嗅探的以太网卡(可以是有线网卡也可以是无线网卡),本文中将选择第二个无线网卡。
ARP欺骗的原理,攻击,防御
ARP欺骗的原理,攻击,防御ARP协议简介 ARP是Address Resolution Protocol (地址解析协议)的缩写。
在以太⽹中,两台主机想要通信,就必须要知道⽬标主机的MAC (Medium/Media Access Control,介质访问控制)地址,如何获取⽬标主机的MAC地址呢?这就是地址解析协议ARP的⼯作。
地址解析协议的基本功能就是在主机发送数据之前将⽬标IP转换为MAC地址,完成⽹络地址到物理地址的映射,以保证两台主机能够正常通信。
ARP缓存表 任何⼀台主机安装了 TCP/IP协议都会有ARP缓存表,该表保存了这个⽹络(局域⽹)中各主机IP对应的MAC地址,ARP缓存表能够有效地保证数据传输的⼀对⼀特性。
在Windows 中可以使⽤arp-a命令来查看缓存表,结果如下:C:\>arp -aInterface: 192.168.1.8 0x20002Internet Address Physical Address192.168.1.1 00-27-19-66-48-84192.168.1.12 2c-d0-5a-05-8e-fl 在此时的ARP缓存表中可以看到,192.168.1.12对应的MAC地址为2c-d0-5a-05-8e-fl,并且类型为动态。
如果主机在⼀段时间内不与此IP 通信,将会删除对应的条⽬。
⽽静态ARP缓存条⽬是永久性的。
在Windows中建⽴静态类型的ARP缓存表可以使⽤arp -s命令,如: C:\>arp -s 192.168.1.23 f4-b7-e2-8f-ld-91 〃建⽴静态缓存表查看ARP缓存表可以发现,192.168.1.23类型已经变为静态,内容如下: C:\>arp -aInterface: 192.168.1.8 —— 0x20002Internet Address Physical Address Type192.168.1.1 00-27-19-66-48-84 dynamic192.168.1.23 f4-b7-e2-8f-ld-91 static如果想要清空ARP缓存表,可以使⽤arp -d命令;如果想删除单个条⽬,则可以使⽤arp -d ip命令。
arp欺骗原理
arp欺骗原理ARP欺骗原理是一种利用ARP(地址解析协议)的漏洞,对局域网内的设备进行网络攻击的方法。
ARP协议是用于将IP地址转换为物理MAC地址的协议。
一般情况下,设备在进行网络通信时会先发送一个ARP请求,询问特定IP地址的设备的MAC地址。
然后接收到该请求的设备会返回一个包含自己MAC地址的ARP响应。
这样,源设备就可以将目标设备的IP与MAC地址关联起来,从而建立通信。
ARP欺骗利用的是ARP协议没有验证对方身份的漏洞。
攻击者可以通过伪造ARP请求或响应,将自己的MAC地址伪装成目标设备的MAC地址,以欺骗其他设备。
具体来说,下面是ARP欺骗的过程:1. 攻击者向局域网内发送ARP请求,询问目标设备的MAC地址。
2. 正常情况下,目标设备会回复一个包含自己MAC地址的ARP响应给攻击者。
3. 攻击者接收到ARP响应后,将自己的MAC地址伪装成目标设备的MAC地址,并不断发送伪造的ARP响应给其他设备。
4. 其他设备在接收到伪造的ARP响应后,会更新自己的ARP缓存表,将目标设备的IP地址与攻击者的MAC地址关联起来。
5. 当其他设备要与目标设备进行通信时,会将数据发送给攻击者的MAC地址,而攻击者则可以选择拦截、篡改、窃取这些数据。
通过ARP欺骗,攻击者可以获取其他设备的通信数据,进行拦截、篡改甚至窃取敏感信息。
此外,攻击者也可以通过将自己的MAC地址伪装成路由器的地址,实施中间人攻击,劫持网络通信。
为了防止ARP欺骗,可以采取以下措施:1. 搭建虚拟局域网(VLAN)进行隔离,限制ARP欺骗的范围。
2. 使用静态ARP表,手动添加设备的MAC地址与对应IP地址的映射,避免受到伪造的ARP响应的影响。
3. 定期清除ARP缓存表,更新设备的MAC地址。
4. 在网络中使用密钥认证机制,如802.1X,限制未授权设备的接入。
5. 使用加密的通信协议,确保数据在传输过程中的安全性。
以上是ARP欺骗的原理和防范措施的简要介绍,这种攻击方法在实际中仍然存在,并需要网络管理员和用户采取一系列的措施来保护网络安全。
arp欺骗的解决方案
arp欺骗的解决方案1.引言1.1 概述ARP欺骗是一种常见的网络攻击手段,攻击者利用ARP协议的漏洞,通过发送虚假的ARP响应帧来篡改目标主机的ARP缓存表,从而达到欺骗目标主机的目的。
这种攻击会给网络带来严重的安全风险,可能导致数据泄露、网络崩溃甚至入侵。
本文旨在探讨ARP欺骗的解决方案,以帮助用户更好地应对网络攻击。
文章将介绍两种主要的解决方案:使用静态ARP表和使用ARP防火墙。
这两种方案不仅可以帮助用户有效应对ARP欺骗攻击,还能提升网络的安全性和稳定性。
在介绍解决方案之前,我们先对ARP欺骗的原理和危害进行了解和分析。
通过深入理解ARP欺骗攻击的原理,我们能更好地认识到这种攻击对网络安全造成的威胁,进而更好地理解解决方案的重要性和必要性。
接下来,我们将详细介绍解决方案一:使用静态ARP表。
通过使用静态ARP表,用户可以手动将IP地址和MAC地址的映射关系设置为固定值,有效地防止ARP欺骗攻击。
我们将介绍如何正确配置和管理静态ARP 表,并探讨其优势和劣势。
然后,我们将讨论解决方案二:使用ARP防火墙。
ARP防火墙是一种软件或硬件设备,通过监测和过滤网络中的ARP请求和响应,可以检测和阻止恶意ARP欺骗行为。
我们将介绍ARP防火墙的原理和配置方法,以及其在网络安全方面的优势和不足之处。
最后,我们将对本文进行总结,并对所介绍的解决方案进行评价。
我们将从安全性、实用性和成本等方面对这两种解决方案进行评估,以帮助读者全面了解和选择适合自身需求的解决方案。
通过本文的阅读,读者将能够了解ARP欺骗攻击的危害,掌握两种常见的解决方案,并能根据自身的实际情况和需求选择适合的解决方案,提升网络的安全性和稳定性。
1.2 文章结构文章结构部分的内容可以描述文章的整体框架和组织方式,以及各部分的主要内容和目标。
具体内容可以参考以下示例:文章结构:本文主要分为以下几个部分:引言、正文和结论。
引言部分:在引言部分,我们将首先概述ARP欺骗的背景和现状,介绍该问题对计算机网络和信息安全的危害。
cain 使用详细教程
由cain 使用详细教程一个针对Microsoft操作系统的免费口令恢复工具。
号称穷人使用的L0pht crack。
它的功能十分强欺骗,破解加密口令、解码被打乱的口令、显示口令框、显示缓存口令和分析路由协议,甚至还可P拨打电话。
务程序,一般不会用到,我们重点来介绍Cain的使用。
先我们需要安装Winpcap驱动,就可以安装成功了以使用Cain了,让我们打开传说中的Cain,界面十分简单明了,可就不简单了。
密码:切换到“受保护的缓存口令”标签,点上面的那个加号密码全都显示出来了。
状况标签,可以清楚的看到当前网络的结构,我还看到内网其他的机器的共享目录,用户和服务,通过m-DB1开启了IPC$默认共享连接和其他盘隐藏共享。
与嗅探理是操纵两台主机的ARP缓存表,以改变它们之间的正常通信方向,这种通信注入的结果就是AR 探是Cain我们用的最多的功能了,切换到“嗅探”标签晰的看到内网中各个机器的IP和MAC地址。
Cain进行配置,先点最单击最上面的“配置”/]嗅探[/url]器”中选择要[url=/]嗅探[/url]的网卡,在“ARP(Arp 以伪造IP地址和MAC地址进行欺骗,避免被网管发现。
中可以设置过滤器,的需要选择过滤的端口,如[url=/]嗅探[/url]远程桌面密码的话,就钩选RDP 我要[url=/]嗅探[/url]上面的61.132.223.10机器,第二个网卡显示我的ip地,和目标机器是同一内网的,就使用第二个的网卡欺骗。
个标志开始[url=/]嗅探[/url],旁边的放射性标志则是ARP欺骗。
/]嗅探[/url]了N久之后,点击下面的“截获密码”,嗅探所得到的密码会按分类呈现在、VNC、SMTP、ICQ等密码。
如果目标主机使用voip电话的话,还可以获得他使用voip电话的行Arp欺骗,点击下面的“ARP”标签,处单击,然后点上面的“加号”,出现“新建ARP欺骗”对话框,在左边选网关,右边选择被欺骗的IP 是,你的机器性能比网关差的话,会引起被欺骗机器变慢。
电子科技大学实验报告
图4-19
说明:由于cain功能很多,此处仅对本实验中所用到的功能进行讲解,其余功能读者可以自己去了解、尝试。
2.绑定网卡
在IP地址为192.168.1.12的机器上运行cain,在cain运行界面上,按下“sniffer”图标,并点击“configuration菜单”,在“sniffer”选项卡下,选择恰当的网卡进行绑定,点击确定。如图4-20、图4-21
1.安装使用工具Cain
首先在局域网内某台机器上安装Cain(IP地址为192.168.1.12)。Cain是一个功能强大的软件,可以实现网络嗅探、网络欺骗、破解加密口令、分析路由协议等功能。使用它之前必须进行安装,安装过程只需要按照默认情况安装即可。双击“Cain v2.5”,运行Cain的操作界面如图4-19:
六、实验内容:
1.安装使用工具Cain。
什么是IP地址劫持的方式
什么是IP地址劫持的方式IP地址劫持的方式是指通过某种手段来篡改或劫持网络通信中的IP 地址,从而使得通信的目标或中间节点受到控制或干扰。
IP地址劫持主要可以分为以下几种方式:一、DNS劫持DNS(Domain Name System,域名系统)是将域名解析为相应IP地址的系统。
DNS劫持即黑客攻击者通过篡改DNS服务器的解析记录,使得用户输入正确的域名时,被劫持到错误的IP地址。
用户在访问网站时,其实是访问了黑客控制的恶意网站,导致用户受到欺骗或遭受攻击。
二、ARP欺骗ARP(Address Resolution Protocol,地址解析协议)是将IP地址解析为相应MAC地址的协议。
ARP欺骗是指攻击者通过发送伪造的ARP响应包来欺骗网络中的设备,使得其将通信目标的IP地址映射到攻击者的MAC地址上。
这样攻击者就能够截获或篡改受害者的网络通信,进行信息窃取或者中间人攻击。
三、BGP劫持BGP(Border Gateway Protocol,边界网关协议)是用于互联网中路由器之间相互通信和交换路由信息的协议。
BGP劫持是指攻击者通过改变路由器之间的路由表信息,将正常的数据流量转发到攻击者控制的网络中。
这样攻击者就能够监视、篡改或干扰受害者的网络通信。
四、HTTP劫持HTTP劫持,也称为Web劫持,是指黑客攻击者通过篡改HTTP响应包或者HTTP请求包,来控制用户的浏览器行为或者获取用户的敏感信息。
攻击者可以在HTTP响应包中插入广告、恶意代码或者重定向用户浏览的网页,从而达到欺骗或攻击用户的目的。
五、WiFi劫持WiFi劫持是指攻击者通过创建恶意的WiFi热点,吸引用户连接并获取用户的敏感信息。
攻击者可以将恶意代码注入到用户设备上,或者通过中间人攻击来窃取用户的网络通信数据。
用户在使用公共WiFi 时,要注意连接正规的、可信的WiFi热点,避免受到WiFi劫持的威胁。
六、服务器劫持服务器劫持是指攻击者通过入侵服务器,篡改网站内容或者进行其他恶意操作。
CIW-01(物理攻击、社会工程学攻击、网络嗅探 、ARP、DNS欺骗原理及防护方法)
常见ARP攻击类型
ARP扫描
网络中出现大量ARP请求广播包,几乎都是 对网段内的所有主机进行扫描。大量的ARP请求广 播可能会占用网络带宽资源;ARP扫描一般为ARP 攻击的前奏。
ARP欺骗
ARP欺骗原理
A的地址为:IP:192.168.0.1 MAC: AA-AA-AA-AA-AA-AA (网关) B的地址为:IP:192.168.0.2 MAC: BB-BB-BB-BB-BB-BB (黑客) C的地址为:IP:192.168.0.3 MAC: CC-CC-CC-CC-CC-CC (用户) 正常情况下A和C之间进行通讯,但是此时B向A发送一个自己 伪造的ARP应答,而这个应答中的数据为发送方IP地址是 192.168.0.3(C的IP地址),MAC地址是BB-BB-BB-BB-BB-BB (C的MAC地址本来应该是CC-CC-CC-CC-CC-CC)。当A接收 到B伪造的ARP应答,就会更新本地的ARP缓存(A被欺骗了), 这时B就伪装成C了。同时,B同样向C发送一个ARP应答,应答 包中发送方IP地址四192.168.0.1(A的IP地址),MAC地址是BBBB-BB-BB-BB-BB(A的MAC地址本来应该是AA-AA-AA-AAAA-AA),当C收到B伪造的ARP应答,也会更新本地ARP缓存( C也被欺骗了),这时B就伪装成了A。这样主机A和C都被主机B 欺骗,A和C之间通讯的数据都经过了B。
实验1-3
• Sniffer演示 • Iris演示 • Wireshark演示
ARP欺骗及防护方法
ARP协议的概念
ARP,全称Address Resolution Protocol,中文名为地 址解析协议,它工作在数据链路层,在本层和硬件接 口联系,同时对上层提供服务。 IP数据包常通过以太网发送,以太网设备并不识别32位IP 地址,它们是以48位以太网地址传输以太网数据包。 因此,必须把IP目的地址转换成以太网目的地址。在 以太网中,一个主机要和另一个主机进行直接通信, 必须要知道目标主机的MAC地址。但这个目标MAC地 址是如何获得的呢?它就是通过地址解析协议获得的 。ARP协议用于将网络中的IP地址解析为的硬件地址 (MAC地址),以保证通信的顺利进行。
什么是IP地址劫持的方法
什么是IP地址劫持的方法IP地址劫持是一种网络攻击手段,通过篡改目标主机的IP地址信息,使其无法正常与其他主机进行通信或者将其流量重定向到攻击者控制的伪造主机上。
这种攻击方式可以对目标主机造成严重的安全隐患,并可能导致信息泄露、数据篡改、系统瘫痪等后果。
下面将介绍三种常见的IP地址劫持的方法。
一、DNS劫持DNS劫持是一种最常见的IP地址劫持方式之一。
Domain Name System(域名系统)是将域名与IP地址进行映射的系统,当用户输入一个域名时,DNS服务器会将域名解析成相应的IP地址。
攻击者通过篡改DNS服务器的解析结果,将域名解析到错误的IP地址,从而将用户的请求发送到攻击者控制的伪造服务器上。
用户在访问被劫持的网站时,实际上与攻击者控制的服务器进行通信,使攻击者能够窃取用户的敏感信息或进行其他恶意行为。
二、ARP欺骗攻击ARP欺骗攻击是另一种常见的IP地址劫持方式。
ARP(Address Resolution Protocol)是将IP地址解析成MAC地址的协议,在局域网中用于进行主机之间的通信。
攻击者通过发送虚假的ARP请求和响应报文,欺骗目标主机认为攻击者的MAC地址与目标主机的IP地址对应,从而将目标主机的流量重定向到攻击者控制的伪造主机上。
通过这种方式,攻击者可以监听、中间人攻击或者拦截目标主机的通信内容。
三、BGP路由劫持BGP(Border Gateway Protocol)是路由器之间进行路由信息交换的协议,用于决定网络数据流量的转发路径。
攻击者可以通过虚假的BGP路由信息欺骗网络中的路由器,使其将通往目标主机的数据流量发送到攻击者控制的伪造路由上。
这样一来,目标主机的数据流量就会被劫持到攻击者控制的服务器上,攻击者可以对数据进行监控、篡改或者拦截。
为了防止IP地址劫持的方法,用户可以采取以下措施:1. 使用可靠的DNS解析服务,并定期验证DNS服务器的安全性;2. 设置防火墙,限制ARP请求和响应报文的发送和接收,防止ARP欺骗攻击;3. 定期更新路由器的路由表,确保BGP路由信息的有效性;4. 使用加密通信协议,对通信内容进行加密,防止中间人攻击;5. 注意访问网站时的安全性提示,避免点击可疑或不安全的链接。
电子科技大学实验报告
A的地址为:IP:192.168.10.1 MAC: AA-AA-AA-AA-AA-AA
B的地址为:IP:192.168.10.2 MAC: BB-BB-BB-BB-BB-BB
C的地址为:IP:192.168.10.3 MAC: CC-CC-CC-CC-CC-CC
图4-20
图4-21
说明:在一台物理机上,有时因为配置虚拟机或多个网卡的情况下,会有多个网卡和对应的IP,网卡的选择根据所要嗅探的IP地址的范围决定。若需要探测的是192.168.136.7的机器,则应该选择第二个网卡,进行绑定。
在filters按钮下可以选择嗅探的协议类型。如图4-22
图4-22
在configuration中的ARP标签中,可以设置是用本机真实IP和MAC地址参与还是使用伪装IP和MAC地址。若选用使用伪装IP和MAC地址,可以在此处填写上设定的IP地址及MAC地址,这样,在之后的欺骗中即或发现了可疑也无法追述到真实主机。如图4-23所示
六、实验内容:
1.安装使用工具Cain。
2.绑定网卡。
3.确定嗅探区域。
4.ARP欺骗。
5.查看结果。
七、实验器材(设备、元器件):
PC微机一台、SimpleNAD网络实验教学系统
八、实验步骤:
Ping命令是一种TCP/IP实用工具,在DOS和UNIX系统下都有此命令。它将您的计算机与目标服务器间传输一个数据包,再要求对方返回一个同样大小的数据包来确定两台网络机器是否连接相通。
图4-23
3.确定嗅探区域
选定sniffer标签 ,点击cain图标中的“ ”,可以对主机所在的整个网络或指定网络进行嗅探。本实验选择对指定IP范围进行嗅探,选择“Range”,输入需要嗅探的IP范围。点击“OK”。主界面将出现在指定区域内扫描到得主机IP、MAC地址等信息。如图4-24、图4-25
Cain使用教程图文并茂版(图)
Cain & Abel 是由Oxid.it开发的一个针对Microsoft操作系统的免费口令恢复工具。
号称穷人使用的L0phtcrack。
它的功能十分强大,可以网络嗅探,网络欺骗,破解加密口令、解码被打乱的口令、显示口令框、显示缓存口令和分析路由协议,甚至还可以监听内网中他人使用VOIP拨打电话。
Abel 是后台服务程序,一般不会用到,我们重点来介绍Cain的使用。
Cain安装:首先我们需要安装Winpcap驱动,一路next下去就可以安装成功了然后我们就可以使用Cain了,让我们打开传说中的Cain,界面十分简单明了,但是它的功能可就不简单了。
Cain使用:一、读取缓存密码:切换到“受保护的缓存口令”标签,点上面的那个加号缓存在IE里的密码全都显示出来了。
二、查看网络状况切换到“网络” 标签,可以清楚的看到当前网络的结构,我还看到内网其他的机器的共享目录,用户和服务,通过上图,我们清楚的看到Smm-DB1开启了IPC$默认共享连接和其他盘隐藏共享。
三、ARP欺骗与嗅探ARP欺骗的原理是操纵两台主机的ARP缓存表,以改变它们之间的正常通信方向,这种通信注入的结果就是ARP欺骗攻击。
ARP欺骗和嗅探是Cain我们用的最多的功能了,切换到“嗅探”标签在这里可以清晰的看到内网中各个机器的IP和MAC地址。
我们首先要对Cain进行配置,先点最单击最上面的“配置”在“嗅探器”中选择要嗅探的网卡,在“ARP(Arp Poison Routing)”中可以伪造IP地址和MAC地址进行欺骗,避免被网管发现。
在“过滤与端口”中可以设置过滤器,可以根据自己的需要选择过滤的端口,如嗅探远程桌面密码的话,就钩选RDP 3389端口。
小提示:比如我要嗅探上面的61.132.223.10机器,第二个网卡显示我的ip地址为61.132.223.26,和目标机器是同一内网的,就使用第二个的网卡欺骗。
单击网卡的那个标志开始嗅探,旁边的放射性标志则是ARP欺骗。
电子科技大学实验报告
2.绑定网卡
在IP地址为的机器上运行cain,在cain运行界面上,按下“sniffer”图标,并点击“configuration菜单”,在“sniffer”选项卡下,选择恰当的网卡进行绑定,点击确定。如图4Biblioteka 20、图4-21图4-24
图4-25
说明:若没有选择 图标,则当点击 时,会提示“sniffer not be actived”,此时点击 ,开始嗅探,实验仍可继续进行。从cain主界面中可以看到,已探测出在该区域段的机器(10.11为主机,13为虚拟主机,1为网关)。如图4-26
图4-26
4.ARP欺骗
选择cain主界面下端的APR标签 ,点击“ ”号,在选项框中选择进行ARP欺骗的地址。左边选择被欺骗的主机,再在右边选择合适的主机(或网关),ARP能够在左边列表中被选的主机和所有在右边选中的主机之间双向劫持IP包。在该实验中首先在左侧列表中选择的地址,然后右侧列表即会出现其他IP地址,若在右侧选择网关,这样就可以截获所有从13发出到广域网的数据包信息。点击“OK”,在cain界面上可以看到形成的欺骗列表,此时在状态一栏中显示“idle”,开始欺骗点击工具栏上的“ ”状态变为“poisoning”,开始捕获。此时,在机器上进行网络操作,在12机器上会看到cain界面上显示捕获数据包的增加。如图4-27、图4-28、图4-29、图4-30
1.安装使用工具Cain
首先在局域网内某台机器上安装Cain(IP地址为)。Cain是一个功能强大的软件,可以实现网络嗅探、网络欺骗、破解加密口令、分析路由协议等功能。使用它之前必须进行安装,安装过程只需要按照默认情况安装即可。双击“Cain v2.5”,运行Cain的操作界面如图4-19:
arp欺骗原理及过程
arp欺骗原理及过程一、ARP协议简介ARP(Address Resolution Protocol,地址解析协议)是一种用于将IP地址解析为物理MAC地址的协议。
在计算机网络中,每个设备都有一个唯一的MAC地址和IP地址,ARP协议通过查询网络中的ARP缓存表来获取目标IP地址对应的MAC地址,以便进行数据通信。
二、ARP欺骗的概念ARP欺骗(ARP Spoofing)是一种网络攻击技术,攻击者通过伪造ARP响应包,将自己的MAC地址伪装成网络中的某个合法设备的MAC地址,从而使网络中的其他设备将数据发送到攻击者的设备上,从而实现对网络通信的窃听、篡改和拒绝服务等攻击。
三、ARP欺骗的原理ARP欺骗利用了ARP协议的工作原理和局限性。
当一台设备需要向另一台设备发送数据时,会首先查询自己的ARP缓存表,如果找不到目标IP地址对应的MAC地址,则会发送一个ARP请求广播包到网络中,请求目标设备的MAC地址。
目标设备接收到ARP请求后,会发送一个ARP响应包回复请求设备,并将自己的MAC地址告知请求设备。
攻击者利用这个过程,伪造一个ARP响应包,并将自己的MAC地址伪装成目标设备的MAC地址。
当网络中的其他设备收到攻击者发出的伪造ARP响应包时,会将数据发送到攻击者的设备上,从而实现对网络通信的控制。
四、ARP欺骗的过程ARP欺骗的过程可以分为以下几个步骤:1. 获取目标设备的IP地址和MAC地址攻击者首先需要获取目标设备的IP地址和MAC地址,可以通过网络扫描、嗅探等方式进行获取。
2. 伪造ARP响应包攻击者使用自己的MAC地址伪装成目标设备的MAC地址,构造一个伪造的ARP响应包。
该ARP响应包中包含攻击者自己的MAC地址和目标设备的IP地址。
3. 发送ARP响应包攻击者将伪造的ARP响应包发送到网络中,通常使用ARP欺骗工具进行发送,如Ettercap、Cain&Abel等。
4. 欺骗网络设备当其他设备收到攻击者发送的伪造ARP响应包时,会将目标设备的MAC地址更新为攻击者的MAC地址。
中间人攻击
我的主机(192.168.4.17)的mac地址;1,打开Cain软件,激活嗅探器,扫描主机。
如下设定扫描的mac地址范围:扫描所在范围的mac地址:点击配置对话框,设定中间人扫描时使用真实的mac地址;2.点击标签切换到ARP窗口。
点击工具栏上+符号类似图标,设置ARP中毒目标ip。
3.点击切换到ARP选项窗口。
点击工具栏类似放射性标志的图标。
表示开始使目标ip 中毒。
4,在主机192.168.4.17端使用telnet去访问主机192.168.4.116。
如下5.打开wireshark软件抓包,过滤arp协议,同时切换到口令窗口。
如下:可以看到中间人将自己的mac地址,换成接收方的mac地址了切换到嗅探器,右键telnet建立的连接条目,查看,可以看到接收方的管理员的登陆密码:我们可以看到用户名为AAddmmiinnssttssttoorr,密码为123.(实际用户名Administator,密码为123);6,在主机192.168.4.17查看arp信息如下:可以看到目标192.168.4.116对应的mac为00-0c-1a-17-cc。
且为动态的。
二arp攻击预防。
Arp攻击预防可以通过静态绑定的方法来实现。
方法如下:1)在发送方绑定接收方的mac地址:使用命令进行绑定:arp –s 192.168.4.116 mac地址2)再用arp –a检查是否mac地址是否已变成静态的五、实验结果及分析通过这次的实验了解了arp工作的原理,以及利用arp协议的漏洞来进行中间人攻击,只是在实验的后面,被中间人攻击后,发送方无法ping通接收方。
可能是中间攻击人所在的虚拟机未完成对发送方帧的发送,致使接收方无法收到。
[文档可能无法思考全面,请浏览后下载,另外祝您生活愉快,工作顺利,万事如意!]。
- 1、下载文档前请自行甄别文档内容的完整性,平台不提供额外的编辑、内容补充、找答案等附加服务。
- 2、"仅部分预览"的文档,不可在线预览部分如存在完整性等问题,可反馈申请退款(可完整预览的文档不适用该条件!)。
- 3、如文档侵犯您的权益,请联系客服反馈,我们会尽快为您处理(人工客服工作时间:9:00-18:30)。
经过前面的准备,终于到了要进行DNS欺骗了,如果没有这一步,前面的所作的都是白搭,拿出工具“cain2.8工具”,运行“cain”如图6
图6
点击“嗅探”,再点击上面的那个网卡图标“开始嗅探”,再点击那个黑色的十字,在弹出的对话框中目标网络里,选择“子网中的所有计算机”也你可以选自定义范围,大家可以根据自身的情况来选。
确定。
软件会自动扫描出网里的所有电脑。
如图7。
好了,再点击下面的那个“ARP”,再点击上面的那个黑色十字,在弹出的“新建ARP 欺骗”的对话框,左边选你要欺骗的IP地址:192.168.0.100,右边选被欺骗IP的目标网关192.168.0.1,最后确定。
如图8
字串3 图8
再点击“DNS欺骗”,然后依然点击那个黑色的十字,如图9,弹出一个DNS欺骗的对话框。
图9
在请求DNS域名栏中填入192.168.0.100正常要访问的网站,如,然后在“用来改写响应包的IP地址”栏中填入IP:192.168.0.92,意思是说,当主机192.168.0.100访问时要跳到我们所给出的IP地址192.168.0.92,再确定。
最后点击“开始/停止ARP欺骗”,DNS欺骗工作正式开始了。