实验11arp欺骗

欺骗攻击
欺骗攻击是一种比较特殊的攻击方式，它不以获取目标主机的权限为目的，而往往是希望能够假扮目标主机的角色，从而可以窃取其他客户端发送给目标主机的信息。

欺骗攻击的方式有很多种，包括社交工程、IP欺骗、DNS欺骗、电子邮件欺骗、WEB欺骗以及最流行的ARP欺骗等等。

这些方式的不同，相应的攻击所应用的技术及采用的策略也都不尽相同，但我们要认识到它的本质并没有不同，攻击的最终目的就是伪造和欺骗。

本章以ARP欺骗为例来阐述它的工作原理及具体应用。

ARP欺骗
11.1.1 背景描述
ARP欺骗是一类地址欺骗类病毒，属于木马病毒，自身不具备主动传播的特性，不会自我复制。

但是由于其发作的时候会不断向全网发送伪造的ARP数据包，导致网络无法正常运行，严重的甚至可能带来整个网络的瘫痪。

此外，此外黑客还会通过这种攻击手段窃取用户密码，如盗取QQ密码、盗取各种网络游戏密码和账号、盗窃网上银行账号，给用户造成了很大的不便和巨大的经济损失。

因此，它的危害比一些蠕虫病毒来要厉害。

电脑感染ARP病毒后的表现为：网速时快时慢，极其不稳定，局域网内频繁性区域或整体掉线，重启计算机或网络设备后恢复正常；网上银行、游戏及QQ账号的频繁丢失。

随着加密技术的不断提高，ARP病毒在盗取用户帐号、密码时遇到了很大的难度。

于时又出现了一类新的ARP病毒，该类ARP病毒保留了ARP病毒的基本功能，即向全网发送伪造的ARP 欺骗广播，将自身伪装成网关。

在此基础上，对用户发出的HTTP请求访问进行修改，在其中插入恶意网址链接，用户在不知情的情况下点击这些链接时，木马病毒就会利用系统漏洞种植到用户电脑中，从而使用户电脑感染病毒。

11.1.2 工作原理
一、什么是ARP协议
ARP协议是“Address Resolution Protocol”（地址解析协议）的缩写。

我们知道在局域网中，网络以“帧”的形式传输数据。

一个主机要和另一个主机进行直接通信，必须要知道目标主机的MAC地址，目标主机的MAC地址理应就包含在数据帧中。

显然在双方通信之初，发送方是无法知道目标MAC地址的，它的获得就是通过地址解析这个过程。

所谓“地址解析”就是主机在发送帧之前将目标IP地址转换成目标MAC地址的过程。

ARP协议的基本功能就是通过目标设备的IP地址，查询目标设备的MAC地址，以保证通信的顺利进行。

二、ARP协议的工作原理
ARP数据包根据接收对象不同，可分为两种：
1. 广播包(Broadcast)。

广播包目的MAC地址为FF-FF-FF-FF-FF-FF，网络设备如交换机接收到广播包后，会把它转发给局域网内的所有主机。

2. 非广播包(Non-Broadcast)。

非广播包后只有指定的主机才能接收到。

ARP数据包根据功能不同，也可以分为两种：
1. ARP请求包(ARP Request)：作用是用于获取局域网内某IP对应的MAC地址。

2. ARP回复包(ARP Reply)：作用是告知别的主机，本机的IP地址和MAC是什么。

广播的一般都是ARP请求包，非广播的一般都是ARP回复包。

我们通过一个案例简单分析一下。

假设局域网内有以下两台主机，主机名、IP地址、MAC地址分别如表11-1-1所示：
表11-1-1 两台主机的IP地址及MAC地址
当主机A需要与主机B进行通讯时，它会先查一下本机的ARP缓存中，有没有主机B 的MAC地址。

如果有就可以直接通讯。

如果没有，主机A就需要通过ARP协议来获取主机B
的MAC地址。

具体做法是主机A会形成一个ARP请求，以物理广播地址在本子网上广播，并等待目的主机的应答。

这个请求包含发送方的IP地址、物理地址以及目标主机的IP地址。

当主机B接收到来自主机A的“ARP广播-请求”数据包后，它会先把主机A的IP地址和MAC地址对应关系保存/更新到本机的ARP缓存表中，然后它会给主机A发送一个“ARP 非广播-回复”数据包，当主机A接收到主机B的回复后，它会把主机B的IP地址和MAC 地址对应关系保存/更新到本机的ARP缓存表中，之后主机A和B就可以进行通讯了。

图11-1-1显示了两台网络设备的ARP表。

图11-1-1 两台设备的ARP表
从上述局域网主机通讯过程可以看出，主机在两种情况下会保存、更新本机的ARP缓存表：
1. 接收到“ARP广播-请求”包时
2. 接收到“ARP非广播-回复”包时
通过以上分析我们可以看出，ARP协议是没有身份验证机制的，局域网内任何主机都可以随意伪造ARP数据包，ARP协议设计天生就存在严重缺陷。

ARP欺骗的过程基本思路是PC03首先向PC02发送了一个ARP数据包，作用相当于告诉PC02：“我是10.0.0.1，我的MAC 地址是03-03-03-03-03-03”，接着他也向GateWay也发送了一个ARP数据包，作用相当于告诉GateWay：“我是，我的MAC地址是03-03-03-03-03-03”。

欺骗成功后，主机PC02与GateWay之间的数据流向，以及它们各自的ARP缓存表就变成如图11-1-2所示：
图11-1-2 ARP欺骗后的网络设备保存的ARP表
11.1.3 实验列表
实验序号实验名称
实验一ARP欺骗的实现
请参考百度文库：
【实验一】ARP欺骗的实现
【实验分析】
实验目的：
掌握ARP欺骗的工作原理
掌握ARP攻击软件WinArpAttacker的使用方法
场景分析：
本次实验可以在三台虚拟机的环境下模拟完成。

实验的基本思路是：管理员在A机（攻击源）登录，利用ARP攻击软件WinArpAttacker对B机（目标主机）的ARP表进行修改，即让目标主机的ARP表中的MAC地址与IP地址发生错误的对应关系。

实验的环境如表11-1-2所示：
IP地址MAC地址角色与任务A机10.0.0.100-0c-29-1b-cc-6c模拟为网关
B 机10.0.0.200-0c-29-b1-c9-5c目标机器（靶机）
C 机10.0.0.300-0c-29-a4-25-13攻击源
表11-1-2 三台PC机的IP地址、MAC地址及角色与任务
实验工具：ARP攻击软件WinArpAttacker
【实验步骤】
1．管理员首先依次检查A、B、C三台机的IP设置及ARP缓存表，如图11-1-3、11-1-4、11-1-5所示：
图11-1-3 B机的IP设置及ARP缓存表
图11-1-4 C机的IP设置及ARP缓存表
图11-1-5 A机的IP设置及ARP缓存表
2．管理员登陆ARP攻击源（10.0.0.3），打开ARP攻击软件WinArpAttacker，点击工具栏中的scan按钮，即可以扫描出局域网中机器的相关信息，如图11-1-6所示：
图11-1-6 局域网中机器的相关信息
3．勾选10.0.0.2主机前面的复选框，指定它为这次实验的攻击目标，并在工具栏中选中Attack图标，并点击Flood，表示将向目标主机发送大量的“IP Confict”包，如图11-1-7所示：
图11-1-7 对目标主机进行欺骗
4．管理员检查目标主机状况：此时在主机桌面上显示IP地址冲突的对话框，再检查一下ARP缓存表，可以看出此时的ARP缓存表得到了一个显然是错误的信息，如图11-1-8、11-1-9所示：
图11-1-8 系统报错
图11-1-9 新的ARP表
5．该软件还提供了手工制作ARP攻击包的功能，具体做法是首先选择BanGateway，进入Send arp packet对话框，在该对话框中，伪造10.0.0.1的MAC地址为33-33-33-33-33-33，并将伪造的结果告诉靶机。

伪造成功后，单击send按钮，如果成功发送，则会出现1 arp packets have been send!的提示字符串，如图11-1-10所示：
6．回到靶机(10.0.0.2)查看ARP缓存，网关物理地址已经被改为：33-33-33-33-33-33，此时如果再ping 网关，显示会出现不通的效果，显示欺骗成功，如图11-1-11所示：
图11-1-10 手工制作ARP攻击包
图11-1-11 错误的ARP表
本章小结
ARP欺骗近些年在公司、学校、网吧频频出现，给我们的工作、学习、生活带来相当大的麻烦。

它主要有两种表现形式：1、截获网关数据。

它通知路由器一系列错误的内网MAC 地址，并按照一定的频率不断进行，使真实的地址信息无法通过更新保存在路由器中，结果路由器的所有数据只能发送给错误的MAC地址，造成正常PC无法收到信息。

2、伪造网关。

它的原理是建立假网关，让被它欺骗的PC向假网关发数据，而不是通过正常的路由器途径上网。

这样就会造成主机出现“网络频频掉线了”的情况。

思考题
1. NetFuke是一款比较常用的ARP欺骗工具，请设计一个实验方案来模拟实现一次局域网内的ARP欺骗的过程。

2. 请查看相关资料，了解如何在局域网内防范ARP欺骗。