利用Cain软件进行ARP欺骗攻击

1.监听网络线路进行高效的数据包分析的一个关键决策是在哪里放置数据包嗅探器，以恰当的捕获网络数据。

数据包分析师通常把这个过程称之为监听网络线路。

简而言之，将数据包嗅探器安置在网络上恰当的物理位置的过程。

但是嗅探数据包并不像将一台笔记本电脑连入网络中那么的简单。

安置嗅探器的挑战是考虑种类繁多的用来连接网络的硬件设备。

1.1.混杂模式混杂模式实际上是一种允许网卡能够查看到所有流经网络线路数据包的驱动模式。

网络设备上的网卡驱动会识别出这个数据包对于他们来说没有任何用处，于是将数据包丢弃，而不是传递给CPU进行处理。

将目标不是这台接收主机的数据包进行丢弃可以显著的提高网络处理性能，但是这对于数据包分析师来说不是个好消息。

作为分析师，我们通常哟啊线路上传输每一个数据包，这样我们才不会担心丢失任何关键的信息。

我们可以使用网卡的混杂模式来确保能捕获所以网络流量。

现在网卡一般都支持混杂模式。

1.2.在集线器的网络中进行嗅探在使用集线器连接的网络中进行嗅探，对于任何数据包分析师来说，都是一个梦想。

流经集线器的所有网络数据包都会被发送到每一个集线器的连接的端口。

要分析一台连接到集线器上的电脑的网络通信，所需要做的就是将数据包嗅探器连接到集线器的任意一个空闲端口。

令人遗憾的是，集线器网络已经是非常罕见了，因为集线器网络传输效率很低，已经基本被淘汰了。

1.3.在交换网络中进行嗅探交换机是现在网络环境中最常见的连接设备类型，通过广播、单播与多播方式传输数据提供了高效的方法，设备还可以同时发送和接收数据。

然后这给数据包嗅探带来了一些复杂的因素。

当你将嗅探器连接到交换机上的一个端口时，你将只能看到端口所属VLAN内的广播数据包，以及由你自己电脑传输与接收的数据包。

从一个交换式网络中从一个目标设备捕获网络流量的基本方法如下4钟:端口镜像，集线器接出，使用网络分流器，ARP欺骗攻击。

1.3.1.端口镜像端口镜像是在交换式网络中捕获一个目标设备所以网络通信最简单的方法。

河南科技学院2013-2014学年第一学期《信息安全》测试分析报告基于ARP欺骗的交换式网络嗅探姓名：学号：班级：使用Cain工具嗅探一、实验目的通过使用Cain pro软件掌握Cain(嗅探器)工具的使用方法，实现捕捉 flp 、http 等协议的数据包，以理解TCP/IP协议中多种协议的数据结构、会话连接建立和终止的过程、TCP序列号、应答序号的变化规律，防止FTP、HTTP等协议由于传输明文密码造成的泄密。

二、实验原理通常每个网络接口都有一个互不相同的硬件地址（MAC地址），同时，每个网段有一个只有在此网段中广播数据包的广播地址（代表所有的接口地址）。

一般情况下，一个网络接口只响应目的地址是自己硬件地址或者自己所在网段的广播地址的数据帧，并由操作系统进一步处理，同时丢弃不是发给自己的数据帧。

通过Cain工具，可以将网络接口设置为“混杂”（promiscuous）模式，在这种模式下，网络接口就处于一个对网络的“监听”状态，它可以监听此网络中传输的所有数据帧，不管此数据帧的目的地址是广播地址还是自己或者其他忘我接口的地址。

它将对遭遇到的每一个数据帧产生硬件中断，交由操作系统对这个帧进行处理，比如截获这个数据帧，进而实现实时分析数据帧中包含的内容。

三、实验环境一台安装了Windows 2000/XP的PC机，连接到一个局域网上，局域网中至少有两台机子。

四、实验内容和步骤(1)运行Cain软件点击“配置”按钮进行配置：（2）点击嗅探器选项卡：（3）点击工具栏第二个图标进行嗅探：在空白处右击选择“扫描MAC地址”，目标主机选择所有在子网的主机：扫描结果如下：（4）选择嗅探/ARP选项卡，在上方空白处右键单击，点击“+”打开选项卡，左边选择一个，右边全部选择。

选择下方的口令选项卡,然后单击HTTP来查看截获数据：。

ARP欺骗攻击原理及防御策略ARP（Address Resolution Protocol）欺骗攻击是一种利用ARP协议漏洞来冒充网络中台设备的MAC地址的攻击方式。

攻击者通过发送伪造的ARP响应包，将目标设备的IP地址与攻击者的MAC地址进行绑定，从而达到攻击的目的。

攻击原理：ARP协议是用于将IP地址解析为MAC地址的协议，其工作原理为：当主机A需要与主机B通信时，会先检查自己的ARP缓存表，查看是否有主机B的IP地址对应的MAC地址，若有，则直接发送数据包给主机B；若没有，则通过广播ARP请求包的方式询问网络中其他主机，寻找主机B 的MAC地址。

主机B收到ARP请求包后，会返回一个包含其IP地址和MAC地址的ARP响应包，主机A会将主机B的IP地址与MAC地址绑定，然后发送数据包给主机B。

ARP欺骗攻击利用了这个过程中的不安全性，攻击者可以发送伪造的ARP响应包来伪装自己的MAC地址，将目标设备的IP地址与自己的MAC 地址进行绑定，从而实现攻击。

攻击者可以在中间人位置上监视、修改或阻断通信流量，从而进行各种攻击，如中间人攻击、数据篡改、数据丢失等。

防御策略：为了防止ARP欺骗攻击，可以采取以下一些策略：1.静态ARP绑定：将网络中的设备的IP地址与MAC地址进行手动绑定，使得ARP欺骗攻击者无法通过发送伪造的ARP响应包来进行攻击。

这种方法适用于小型局域网，但对于大型网络来说管理起来不太方便。

2. ARP检测工具：使用ARP检测工具可以实时监测网络中的ARP请求和响应包，检测是否存在伪造的ARP包，及时发现潜在的ARP欺骗攻击。

常用的ARP检测工具包括Arpwatch、Cain & Abel等。

3.使用静态路由表：在网络设备上手动配置静态路由表，指定目标设备的MAC地址，避免使用ARP协议来解析MAC地址。

静态路由表可以防止ARP欺骗攻击者修改路由信息，而无需依赖ARP协议来解析MAC地址。

cain用法
Cain & Abel是一款针对Microsoft操作系统的网络监视和渗透测试工具，可以用来实施中间人攻击，对计算机进行远程控制。

以下是其具体的用法：
1. 读取缓存密码：切换到“受保护的缓存口令”标签，单击上面的加号，缓存在IE里的密码可以全都显示出来。

2. 查看网络状况：切换到“网络”标签，可以清晰地看到当前网络的结构，还可以看到内网其他的机器的共享目录、用户和服务。

3. ARP欺骗与嗅探：ARP欺骗的原理是操纵两台主机的ARP缓存表，以改变它们之间的正常通信方向。

这种通信注入的结果就是ARP欺骗攻击。

ARP欺骗和嗅探是Cain用的最多的功能了，切换到“嗅探”标签，在这里可以清晰的看到内网中各个机器的IP和MAC地址。

嗅探攻击实施方案嗅探攻击是一种常见的网络攻击手段，通过监控网络通信流量，截取敏感信息来实施攻击。

嗅探攻击可能会对个人隐私、企业机密等造成严重危害，因此需要采取相应的防范措施。

本文将介绍嗅探攻击的实施方案，并提出相应的防御建议。

一、嗅探攻击的实施方案。

1. ARP欺骗。

ARP欺骗是一种常见的嗅探攻击手段，攻击者通过发送虚假的ARP响应，将网络数据流量重定向到自己的设备上，从而获取敏感信息。

攻击者可以利用工具如Ettercap、Cain & Abel等来实施ARP欺骗攻击。

2. 数据包嗅探。

攻击者可以利用网络嗅探工具如Wireshark、Tcpdump等来监控网络通信流量，截取传输的数据包，从中获取敏感信息，如用户名、密码等。

这种攻击方式对于未加密的通信特别有效。

3. 中间人攻击。

中间人攻击是一种广泛运用的嗅探攻击手段，攻击者通过伪装成通信双方之一，窃取双方的通信内容。

攻击者可以利用工具如SSLstrip、Bettercap等来实施中间人攻击。

二、防御建议。

1. 加密通信。

对于敏感信息的传输，应采用加密通信协议，如HTTPS、SSH等，以防止攻击者通过嗅探攻击获取数据。

2. 使用虚拟专用网络（VPN）。

企业内部网络可以部署虚拟专用网络，通过加密通道传输数据，避免敏感信息在公共网络中被窃取。

3. 网络流量监控。

定期对网络流量进行监控和分析，及时发现异常流量和嗅探攻击行为，并采取相应的防御措施。

4. 强化网络安全意识。

加强员工的网络安全意识培训，提高对嗅探攻击等网络安全威胁的认识，避免因为员工的疏忽而导致敏感信息泄露。

5. 更新安全补丁。

及时更新网络设备和应用程序的安全补丁，以修复已知的安全漏洞，减少嗅探攻击的风险。

6. 使用网络入侵检测系统（IDS）。

部署网络入侵检测系统，及时发现和阻止嗅探攻击行为，保护网络安全。

结论。

嗅探攻击是一种常见的网络安全威胁，对个人和企业都可能造成严重危害。

为了有效防范嗅探攻击，我们需要采取一系列的防御措施，包括加密通信、使用VPN、网络流量监控、加强安全意识等。

经过前面的准备，终于到了要进行DNS欺骗了，如果没有这一步，前面的所作的都是白搭，拿出工具“cain2.8工具”，运行“cain”如图6
图6
点击“嗅探”，再点击上面的那个网卡图标“开始嗅探”，再点击那个黑色的十字，在弹出的对话框中目标网络里，选择“子网中的所有计算机”也你可以选自定义范围，大家可以根据自身的情况来选。

确定。

软件会自动扫描出网里的所有电脑。

如图7。

好了，再点击下面的那个“ARP”，再点击上面的那个黑色十字，在弹出的“新建ARP 欺骗”的对话框，左边选你要欺骗的IP地址：192.168.0.100，右边选被欺骗IP的目标网关192.168.0.1，最后确定。

如图8
字串3 图8
再点击“DNS欺骗”，然后依然点击那个黑色的十字，如图9，弹出一个DNS欺骗的对话框。

图9
在请求DNS域名栏中填入192.168.0.100正常要访问的网站，如，然后在“用来改写响应包的IP地址”栏中填入IP：192.168.0.92，意思是说，当主机192.168.0.100访问时要跳到我们所给出的IP地址192.168.0.92，再确定。

最后点击“开始/停止ARP欺骗”，DNS欺骗工作正式开始了。

CAIN使用教程声明：任何不经别人同意而进入别人网络都是非法和不道德的行为。

本教程用于学习和交流，如由此产生一切违法行为与本教程无关。

题记：本人是中国无线论坛/的ID“中卫”。

本教程是根据网上现有的资料还有我的理解加上实际操作实践编辑整理而成。

由于本人也是初学者，缺乏专业的理论知识，因此文中不免存在理解的偏差甚至错误，希望各位朋友指正。

如果对教程有任何意见和建议，欢迎各位 论坛提问和交流。

谢谢！！CAIN使用教程CAIN是一个WINDOWS平台上的破解各种密码，嗅探各种数据信息，实现各种中间人攻击的软件。

首先下载cain软件找不到下载地址的可到我们共享区/wificrack下载，共享区有4.9英文版和汉化补丁。

CAIN下有两个程序，一个是CAIN主程序，一个是Abel服务程序。

Abel服务程序需要手动进行安装。

正确安装CAIN后从CAIN目录下拷贝Abel.exe和Abel.dll到C:\Windows\System32目录下，运行Abel.exe安装，并在服务里设置为自动启动。

运行CAIN，主界面如图所示我们先来看看CAIN的几个大类的使用，大类页面如下图一．解密器：解密器的作用主要是读取缓存中保存的各种密码。

你可以点击左边的各选项然后点击上面的在右边的窗口你可以看到你曾经正确使用过的无线的密码都保存在这里，如下图所示。

大家可以清楚的看到SSID和后面的密码。

二．网络这个网络主要用来鉴别各域控制器，SQLserver，打印服务，远程拨入，终端服务等。

网络的左侧用来浏览网络结构和连接远程主机。

连接到主机就可列出用户名，工作者，服务，共享资源等。

如下图，我们清楚的看到SMM-DB1开启了IPC$默认共享连接和文件夹共享。

同时也可以搜索到计算机的用户组和组的用户名，虽然NT版本以后不能建立空连接了，但是还是可以通过提取SID来获得Admin的账号，因为管理员的SID总是500。

如下图所示三．嗅探器（包含局域网的嗅探和ARP欺骗）嗅探器是CAIN的重点，很多人用CAIN主要就是用这个嗅探器和ARP欺骗。

利用Cain软件进行ARP欺骗攻击
利用Cain软件进行ARP欺骗攻击
1.程序配置
(1). 运行Cain软件界面如下：
(2). 首先点菜单栏的配置按钮这是出现配置菜单如下:
在这选择本机所使用的局域网卡，其他的选项可以不用选择。

(3). 在ARP(Arp Poison Routing)选项上选择“使用伪造IP和MAC地址”填
上本机所在局域网中一个子网IP如下:
在过滤于端口上可以根据需要勾选协议。

2.MAC地址扫描
选择工具栏上的嗅探器
此外在进行MAC地址扫描之前打开“开始嗅探”按钮然后在空白处右击鼠标，选择“扫描MAC地址”弹出
填出要扫描的网段
扫描结果如下:
3.ARP欺骗
单击下面APR出现
在右侧边栏单击一下等变成蓝色的后，按这个按钮出现
点击确定即可得到：
添加NDS如下：这时设置成功后在对方访问Google时就可以直接掉转百度主页了。

Cain-ARP欺骗
Cain & Abel 是由Oxid.it开发的一个针对Microsoft操作系统的免费口令恢复工具。

号称穷人使用的L0phtcrack。

它的功能十分强大，可以网络嗅探，网络欺骗，破解加密口令、解码被打乱的口令、显示口令框、显示缓存口令和分析路由协议，甚至还可以监听内网中他人使用VOIP拨打电话。

MAC地址扫描范围如下
扫描结果如下图所示
本次实验在寝室里完成,所有扫描获得IP地址,由自己通过Dual Server分配(DHCP服务器)
测试本机IP地址
为了让实验有效进行,已经关闭杀毒软件和防火墙
网卡配置如下
实验中遇到两个问题
第一MAC地址不能修改,这样在同一个局域网是否会产生冲突. 第二伪造的IP地址好像没作用
演示两太主机DNS,HTTPARP欺骗.
虽然两个文本的MD5可能会相等，但是不一定另外的文本内容恰好就与针对性伪造的内容一模一样，所以MD5能被破解，与文件内容真实性问题不会有太大的牵连，但是密码就不一定了如果密码A与密码B的MD5相等，那么如果有一个人的密码是A，那么黑客用密码B登陆他的帐户，直接构成盗号。

本机帐户密码(高级用户)。

使用CAIN进行简单的ARP和DNS欺骗攻击我跟七月估计都算另类的。

我用来配合彩虹表解密，他只用来ARP其实这个工具功能是很强大的，单解密功能就涵盖了SQL数据库，网页，文档等许多，嗅探和抓包功能更为强大，配合AIRPCAP网卡，能实现WEP和WPA密码的破解，ARP攻击时可以以中间人方式入侵，也就是数据转发，顺便抓包，加上彩虹表可以很容易猜解出常见密码，DNS欺骗时配合网页木马效果不是一般的好，所幸这种工具防杀比较容易，否则网管就有的头疼了。

下面是ARP攻击，我自己用无线的，不给监听 - = ！在VM演示。

安装步骤略过，默认自动安装WINPCAP，抓包都要用到的驱动程序这样就实现了插入到网关和client之间了，攻击者的IP和MAC为00-0C-29-1E-90-20 攻击者的MAC192.168.36.130 攻击者的IP 255.255.255.0192.168.36.2 网关到client上面看看吧，输入ARP -A 如图IP没变，但是MAC变了，呵呵，被中间人插入了，然后所有的数据将由中间人，也就是攻击者转发，因为事先部署了sniffer，现在随便打开几个网页进行抓包分析，当然，因为是由中间人转发的，网速自然慢下来了。

登录路由器。

登录百度空间这是捕获到的密码，测试了下，路由，百度和我常去的一个论坛的密码都很轻易的以明文格式被截获了。

126以及淘宝阿里巴巴之类通过安全证书和SSL加密的也能捕获，但是捕获之后还需要解密。

下面试试DNS欺骗攻击，切换到DNS选项卡，输入要欺骗的网址，下面的IP地址是跳转的IP，我填了本地回环的IP127看看对方的访问情况，无法访问了已经，上面的是要欺骗的网址，下面是要跳转的IP，当用户访问G。

cn 的时候会被跳转到我事先设置的IP上。

如果本地搭建一个IIS，做个简单的钓鱼网站就能很完美的实现钓鱼了。

DNS都在它手里，鱼还想跑。

下面说说防治。

1.在C盘根目录的autoexec.bat 中输入绑定IP和MAC到网关的命令以便实现开机自动绑定2.在路由中绑定MAC和IP3.安装ARP防火墙或者网络防火墙够简单吧。

实验目的：掌握ARP欺骗的原理。

能够抓取ARP欺骗的包并进行分析。

实验过程：一、打开cain软件，并对其进行配置。

1、先点开configure菜单，对IP进行配置，这里我选的是第一个。

如下图：2、打开sniffer选项卡，点击Hosts选项卡，点击start sniffer按钮，再点击加号按钮，选择跟自己在同一个网段上的主机。

如下图：注意，我的主机IP是192.168.10.6。

3、这样，就可以扫描到以下主机，并可以看到他们的IP和MAC。

如下图：4、在sniffer选项卡里点击ARP选项卡，这里我让192.168.10.5去欺骗192.168.10.2和192.168.10.4。

如下图：5、点击start ARP按钮，开始抓包。

二、打开wireshark软件，并开始抓包。

抓到一些ARP的包，并进行分析。

三、这里我的主机IP是192.168.10.6，MAC是94:39:e5:00:1a:45。

1、192.168.0.5请求192.168.10.4的MAC地址。

它的目的MAC已经变成我主机的MAC了。

2、下面跟了一个包，说明192.168.10.5的MAC是我主机的MAC。

若192.168.10.4给它回应，会先传给我的主机。

3、然后192.168.10.4发出给192.168.10.5回应的包，给出它的MAC，但是已经变成我的MAC。

若192.168.10.5再给192.168.10.4发信息，会先传到我的主机。

4、这样我的主机就在192.168.10.4和192.168.10.5之间建立了一个连接，它们若要给对方发信息，会先传到我的主机上，就形成了ARP欺骗。

四、打开命令提示符窗口，输入arp /a 命令，并按回车，结果如下图：在其中我们可以看到192.168.10.2，192.168.10.4和192.168.10.5的物理地址都已经变成我的MAC地址，ARP欺骗实验成功。

Cain & Abel 是由Oxid.it开发的一个针对Microsoft操作系统的免费口令恢复工具。

号称穷人使用的L0phtcrack。

它的功能十分强大，可以网络嗅探，网络欺骗，破解加密口令、解码被打乱的口令、显示口令框、显示缓存口令和分析路由协议，甚至还可以监听内网中他人使用VOIP拨打电话。

Abel 是后台服务程序，一般不会用到，我们重点来介绍Cain的使用。

Cain安装：首先我们需要安装Winpcap驱动，一路next下去就可以安装成功了然后我们就可以使用Cain了，让我们打开传说中的Cain，界面十分简单明了，但是它的功能可就不简单了。

Cain使用：一、读取缓存密码：切换到“受保护的缓存口令”标签，点上面的那个加号缓存在IE里的密码全都显示出来了。

二、查看网络状况切换到“网络” 标签，可以清楚的看到当前网络的结构，我还看到内网其他的机器的共享目录，用户和服务，通过上图，我们清楚的看到Smm-DB1开启了IPC$默认共享连接和其他盘隐藏共享。

三、ARP欺骗与嗅探ARP欺骗的原理是操纵两台主机的ARP缓存表，以改变它们之间的正常通信方向，这种通信注入的结果就是ARP欺骗攻击。

ARP欺骗和嗅探是Cain我们用的最多的功能了，切换到“嗅探”标签在这里可以清晰的看到内网中各个机器的IP和MAC地址。

我们首先要对Cain进行配置，先点最单击最上面的“配置”在“嗅探器”中选择要嗅探的网卡，在“ARP(Arp Poison Routing)”中可以伪造IP地址和MAC地址进行欺骗，避免被网管发现。

在“过滤与端口”中可以设置过滤器，可以根据自己的需要选择过滤的端口，如嗅探远程桌面密码的话，就钩选RDP 3389端口。

小提示：比如我要嗅探上面的61.132.223.10机器，第二个网卡显示我的ip地址为61.132.223.26，和目标机器是同一内网的，就使用第二个的网卡欺骗。

单击网卡的那个标志开始嗅探，旁边的放射性标志则是ARP欺骗。

一．使用Serv-U搭建ftp服务器1．建立域，见ftp服务器搭建在ip地址为192.168.29.240的主机上2.建立两个用户，并为其设置密码、目录及权限。

（”user01”,”111”）（”user02”,”111”）3．在用户机上测试ftp服务器搭建是否成功，经测试，服务器搭建成功二．在局域网内使用Cain进行ARP欺骗1.分别在以下两者之间进行ARP欺骗“用户01”（192.168.29.48）←---→ftp服务器（192.168.29.240）“用户02”（192.168.29.50）←---→ftp服务器（192.168.29.240）2.实验现象（1）分别在进行ARP攻击前后，在用户机和服务器上查看本地ARP缓存，可以看到在用户机中ftp服务器的mac地址变成了欺骗者的mac地址；而在服务器中两个用户机的mac 地址也变成了欺骗者的mac地址用户机上ARP缓存变化ftp服务器ARP缓存变化（2）同时，在用户机和服务器上运行的wireshark也捕捉到了欺骗者对用户机发送的ARP应答包①“用户01“主机上捕捉到的应答包②“用户02“主机上捕捉到的应答包③ftp服务器上捕捉到的用户01的ARP请求包④ftp服务器上捕捉到的用户02的ARP请求包⑤ftp服务器上捕捉到的用户01的ARP应答包⑥ftp服务器上捕捉到的用户02的ARP应答包3.原理分析欺骗者通过向用户主机和服务器发送发送ARP应答包，用户主机和服务器将应答包中的ip地址和mac地址存储在本机中的ARP缓存中。

这个mac地址实际上为欺骗者的mac 地址，所以被欺骗的用户主机和服务器均没有意识到自己实际上是件数据包发送给了中间的欺骗者，欺骗者完成了局域网内的ARP欺骗。

4.利用Cain截取用户登录服务器的密码在用户机登录ftp服务器时，登录的账号”user01”和密码”111“被欺骗者截取三．主机与外网通信中的ARP欺骗1.利用cain对两台客户机“用户01”（192.168.29.48）和“用户02”（192.168.29.50）进行ARP欺骗使得两台客户机误以为同一网络内的“欺骗者”（192.168.29.55）为该网络网关（192.168.29.1），如下图所示：2.欺骗前后的用户机02的ARP表变化如下图所示用wareshark抓欺骗过程的发送包发现来自欺骗机的应答欺骗使得客户机误以为它是该网关，如图所示：用户机02登录微博，输入账号及密码，被欺骗机欺骗转发接收到，但是由于账号密码是加密传输，所以虽然对账号密码进行截获但是并不能直接以明文显示，如下图所示通过实验使我们了解到对外网访问的ARP欺骗的原理及过程，让我们对ARP及相关的协议工作的过程有更清楚的了解。

cain实现单目标ARP欺骗一、实验环境一个路由器，一台安装了vmware的宿主机；一台安装了win2003操作系统的主机（虚拟机），并且安装嗅探软件cain作为发动ARP欺骗攻击的主机192.168.1.1路由器（网关）192.168.1.50 发动ARP欺骗攻击的主机（安装在虚拟机上）192.168.1.10 局域网上某台主机，安装了vmware软件二、ARP欺骗过程1、先在10号主机上查看下arp缓存表Internet Address Physical Address Type192.168.1.1 00-23-cd-19-e4-2a dynamic192.168.1.50 00-0c-29-f6-1e-68 dynamic得到了网关和50号主机正常的物理地址2、在50号主机上安装嗅探软件Cain3、运行cain,进行相关设置（1）点configure进行配置，选择要嗅探的网卡由于50号主机上只有一块网卡，默认确定就可以了（2）点选工具栏中的网卡图标，之后选择sniffer页，再选择左下角的hosts,右键选择“scan MAC address”点ok会自动扫描局域网中的存活主机找到了10号主机和网关（3）点ARP页再点工具栏中的大加号点OK至此设置完毕4、点击工具栏中第三个图标，开始欺骗5、重新在10号主机中查看arp缓存表会发现10号机器的arp缓存表中网关的物理地址变成了00-0c-29-f6-1e-68，而这个地址恰恰是发动arp欺骗的50号主机的物理地址三、实验结论Arp缓存表中网关对应的物理地址变成了50号主机的物理地址，这样局域网中其它主机和网关的通信（内网通信或访问外网）都变成了和50号主机的通信，达到了数据包截获和欺骗的目的。

其实，即使是外网向内网某台主机传递的信息也是首先传递给了50号机器，因此内网和外网的通信同样可以被50号机器截获。

四、思考用cain实现arp欺骗为什么正常情况下不影响内网主机之间以及内网和外网之间的通信？Cain不但实现了数据包截获，还同时有数据包转发功能，所以正常情况下不影响通信四、ARP欺骗的防范1、增加MAC地址与IP地址的静态映射（将IP地址与MAC地址绑定）Arp –s 192.168.1.1 00-23-cd-19-e4-2a解绑Arp –d 192.168.1.12、安装arp防火墙五、深层次探讨—ARP欺骗危害1、局域网主机之间无法正常通信2、局域网主机无法访问外网3、通过抓包软件抓包改包再发送到目的地，使得用户接收到虚假信息4、可以造成基于ARP欺骗的网络嗅探，导致机密数据的泄漏例如可以记录上网者的邮箱帐号和密码等。

实验三ARP欺骗工具及原理分析ARP欺骗（Address Resolution Protocol Spoofing）又被称为ARP 攻击，是一种网络安全攻击手段。

ARP是一种用于将IP地址解析为物理MAC地址的协议，用于在局域网中确定数据包的目的地。

ARP欺骗就是欺骗目标主机将数据包发送给攻击者，从而实现中间人攻击或者网络监听。

ARP欺骗工具是一种利用ARP协议漏洞实施攻击的工具，可在局域网环境中进行ARP欺骗攻击。

其工作原理为攻击者伪装成局域网中的其他主机或者网关，在目标主机和网关之间进行中间人攻击，截取目标主机和网关之间的通信数据并进行监听或篡改。

常见的ARP欺骗工具有Ettercap、Cain和Abel、Dsniff等。

这些工具通常具有以下功能：1.欺骗目标主机：工具伪装成目标主机或者网关，向局域网中的其他主机发送ARP欺骗包，将通信数据导向攻击者，实现中间人攻击。

2.监听和分析网络数据：工具可以截获目标主机和网关之间的通信数据，并对数据进行监听和分析。

攻击者可以获取受害者的账号、密码、通信内容等敏感信息。

3.数据篡改和注入：攻击者可以修改截获的数据包内容，实现对通信数据的篡改或者注入恶意代码。

ARP欺骗工具的原理分析如下：1.目标主机和网关之间的ARP协议交换：当目标主机（例如A）需要和网关（例如B）进行通信时，需要将目标主机的IP地址解析为物理MAC地址。

目标主机会发送一个ARP请求，广播到局域网中的所有主机，询问拥有指定IP地址的主机的MAC地址。

网关收到这个请求后会回复一个ARP应答，将自己的MAC地址发送给目标主机。

2.攻击者的ARP欺骗：ARP欺骗工具会在局域网中伪造ARP应答包，将攻击者的MAC地址伪装成网关的MAC地址。

这样当目标主机发送数据包时，就会将数据包发送给攻击者的MAC地址，而不是真正的网关。

攻击者可以选择将这个数据包转发给真正的网关，保持网络通信的正常；同时也可以截获这个数据包，进行监听，篡改或者注入恶意代码。

菏泽学院Heze University专科生毕业设计（论文）题目ARP欺骗及ICMP攻击技术分析姓名郑晓晓学号2007130095 系别计算机与信息工程系专业计算机应用技术指导教师苏军职称2010 年5 月30 日菏泽学院教务处制i摘要ARP欺骗及ICMP攻击是以太网中常用的攻击手段，两者都可对目的网络进行DOS （拒绝服务）带宽攻击。

通过分析防范应对措施方面的异同得出实施ARP欺骗更容易达到带宽攻击的结论。

拒绝服务（DenialofService,Dos）攻击，指利用TCP/IP协议的缺陷攻击目标主机或网络，使之无法提供正常的服务或资源访问，其根本目的是使受害主机或网络无法及时接收并处理外界请求，或无法及回应外界请求。

DOS攻击主要分为网络的带宽攻击和连通性攻击。

带宽攻击指以极大的通信量冲击网络，使得网络资源都被消耗殆尽，最后导致合法的用户请求无法通过。

连通性攻击指用大量的连接请求冲计算机，使得可用的操作系统资源都被消耗殆尽，最终使计算机无法处理合法用户的请求。

ARP欺骗和ICMP 攻击的实施方法，由于路由器、防火墙等网络设备对接收到的ICMP数据包设置了严格的安全策略，而ARP欺骗又主要应用天安全性较差的局域网中，因此ARP欺骗在带宽攻击方面实施起来比ICMP攻击更容易些。

对于ICMP的攻击，选择合适的防火墙有效防止ICMP攻击，防火墙具有状态检测、细致的数据完整性检查和很好的过滤规则控制功能。

AbstractThe ARP deceit and the ICMP attack are in the ethernet the commonly used attack method, both all may carry on DOS to the goal network (to refuse to serve) the band width attack.Should obtain through the analysis guard to the measure aspect similarities and differences implements the ARP deceit to be easier to achieve the band width attack the conclusion.Refuses to serve (DenialofService, Dos) attack, refers uses the TCP/IP agreement the flaw attack goal main engine or the network, causes it to be unable to provide the normal service or the resources visit, its primary purpose is causes to suffer injury the main engine or the network is unable to receive promptly and processes the outside to request, or is unable and the response outside request.The DOS attack mainly divides into the network the band width attack and the connective attack.The band width attack refers by the enormous communication load impact network, causes the network resources all to consume the danger, finally causes the legitimate user to request is unable to pass. The connective attack refers with the massive connection request flushes the computer, causes the available operating system resources all to consume the danger, finally causes the computer to be unable to process the validated user the request.ARP deceit and ICMP attackiiimplementation method, because network equipment docking and so on router, firewall receives the ICMP data packet has established the strict security policy, but the ARP deceit mainly applies in the day security bad local area network, therefore the ARP deceit implements in the band width attack aspect is easier than the ICMP attack.Regarding the ICMP attack, chooses the appropriate firewall to prevent effectively ICMP attacks, the firewall has the condition examination, the careful data integrity inspection and the very good filtration rule control function.关键词：ARP欺骗及ICMP攻击分析安全iii目录目录摘要................................................................................................................................................................. i i Abstract......................................................................................................................................................... i i 1 ARP欺骗概述. (1)1.1 ARP协议 (1)1.2 解决ARP攻击的方法 (1)1.3 故障现象 (2)1.4 解决思路 (3)2 路由器ARP表绑定设置 (4)3 ICMP协议的概述 (7)3.1 什么是ICMP协议 (7)3.2 ICMP的消息格式和代码组合 (8)3.3 使用ICMP协议搜集信息 (9)3.4 ICMP攻击及欺骗技术 (10)4 配置系统带的默认防火墙以预防攻击 (12)5 结论 (18)6 参考文献 (19)7致谢 (19)iiARP欺骗及ICMP攻击技术分析1 ARP欺骗概述在实际网络的链路上传送数据帧时，是采用硬件地址来寻址，地址解析协议(AddressResolutionProtocol,ARP)解决了从IP地址到硬件地址的映射问题。

ARP病毒诊断与防御一 ARP病毒的攻击一、arp攻击原理在局域网中，通过ARP协议来完成IP地址转换为第二层物理地址（即MAC地址）的。

ARP协议对网络安全具有重要的意义。

通过伪造IP地址和MAC地址实现ARP欺骗，能够在网络中产生大量的ARP通信量使网络阻塞。

ARP协议是“Address Resolution Protocol”（地址解析协议）的缩写。

在局域网中，网络中实际传输的是“帧”，帧里面是有目标主机的MAC地址的。

在以太网中，一个主机要和另一个主机进行直接通信，必须要知道目标主机的MAC地址。

但这个目标MAC地址是如何以主机A（192.168.16.1）向主机B（192.168.16.2）发送数据为例。

当发送数据时，主机A会在自己的ARP缓存表中寻找是否有目标IP地址。

如果找到了，也就知道了目标MAC 地址，直接把目标MAC地址写入帧里面发送就可以了；如果在ARP缓存表中没有找到相对应的IP地址，主机A就会在网络上发送一个广播，目标MAC地址是“FF.FF.FF.FF.FF.FF”，这表示向同一网段内的所有主机发出这样的询问：“192.168.16.2的MAC地址是什么？”网络上其他主机并不响应ARP询问，只有主机B接收到这个帧时，才向主机A做出这样的回应：“192.168.16.2的MAC地址是bb-bb-bb-bb-bb-bb”。

这样，主机A就知道了主机B的MAC地址，它就可以向主机B发送信息了。

同时它还更新了自己的ARP缓存表，下次再向主机B发送信息时，直接从ARP缓存表里查找就可以了。

ARP缓存表采用了老化机制，在一段时间内如果表中的某一行没有使用，就会被删除，这样可以大大减少ARP缓存表的长度，加快查询速度。

从上面可以看出，ARP协议的基础就是信任局域网内所有的人，那么就很容易实现在以太网上的ARP欺骗。

对目标A进行欺骗，A去Ping主机C却发送到了DD-DD-DD-DD-DD-DD 这个地址上。