西南科技大学网络安全实验-ARP欺骗实验

一、实验目的

了解 ARP 欺骗的原理，掌握 ARP 欺骗的实现过程

二、实验设计

实验环境：

物理环境组成：宿主机（被欺骗主机）和虚拟机（攻击主机），二者位于同一网段。

宿主机操作系统为 Windows 7，64 位；将宿主机的实体网卡IP 地址配置为 192.168.153.132，网关 IP 地址配置为192.168.153.1。

虚拟机操作系统为 Windows XP， 64 位；网络连接设置为桥接模式，虚拟机网卡 IP 地址配置为192.168.153.131，网关 IP 地址配置为192.168.153.1。

实验工具：

在虚拟机上安装 Cain v4.9，用于 Windows 环境下的 ARP 欺骗、网络嗅探等功能。

实验内容：

（1）在虚拟机上运行 Cain 主程序

在虚拟机上运行 Cain 主程序，单击“配置”菜单，在弹出对话框中选择 IP 地址为192.168.153.131的网络适配器。

（2）扫描活动主机

单击 Cain 主界面的“嗅探器”标签；在下方的标签中单击“主机”；单击上方的“开始/停止嗅探”按钮，在空白处以鼠标右键单击，弹出菜单，选择“扫描 MAC 地址”，扫描完成后，屏幕将显示当前局域网中所有活动主机的 IP 地址和 MAC 地址列表。

（3）配置信息

单击主界面的“嗅探器”标签，在下方的标签中单击“ARP”；添加欺骗对象，即在右上列表空白处单击鼠标左键，然后单击上方标签“+”按钮，在弹出对话；框中的左列选择网关 IP 地址“192.168.153.1”，在对话框右列选择宿主机 IP 地址“192.168.153.132”，单击确定按钮。

（4）开启 ARP 欺骗过程

单击主界面上方的“开始/停止 ARP”按钮，在右上方列表中会显示“Poisoning”状态，表示正在对宿主机和网关进行 ARP 欺骗。同时右下方列表会实时显示截获的通信数据条目。

（5）观察 ARP 缓存

在虚拟机（攻击主机）上运行“cmd.exe”命令行程序，输入“ipconfig /all”查看网卡的 IP 和 MAC 地址信息，记录你查看到的虚拟机的 MAC 地址值。

在宿主机（被骗主机）上运行“cmd.exe”命令行程序，输入“arp -a”查看当前的ARP 缓存，记录你查看到的网关 IP 地址“192.168.153.1”和虚拟机 IP 地址“192.168.153.131”所对应的 MAC 地址值，查看是否与虚拟机的 MAC 地址值一致。

三、实验过程（包含实验结果）

1、在win xp虚拟机和win7宿主机上上运行“cmd.exe”命令行程序，输入“ipconfig”查看虚拟机和宿主机的IP 地址，以及观察是否处于同一网段。

win xp虚拟机如图所示：

win 7宿主机如图所示：

2、在win xp虚拟机上打开cain，单击“配置”菜单，在弹出对话框中选择 IP 地址为

192.168.153.131 的网络适配器，点击运用。

3、单击 Cain 主界面的“嗅探器”标签，在下方的标签中单击“主机”，单击上方的“开始/停止嗅探”按钮，在空白处以鼠标右键单击，弹出菜单，选择“扫描 MAC 地址”，扫描完成后，屏幕将显示当前局域网中所有活动主机的 IP 地址和 MAC 地址列表

4、单击主界面的“嗅探器”标签，在下方的标签中单击“ARP”。添加欺骗对象，即在右上列表空白处单击鼠标左键，然后单击上方标签“+”按钮，在弹出对话。框中的左列选择网关 IP 地址“192.168.153.1”，在对话框右列选择宿主机 IP 地址“192.168.153.132”。

5、单击主界面上方的“开始/停止 ARP”按钮，在右上方列表中会显示“Poisoning”状态，表示正在对宿主机和网关进行 ARP 欺骗。

6、在win xp虚拟机上开启telnet服务：按键 “win+R”输入services.msc，进入服务管理器界面；在“服务管理器”界面中找到telnet 项；双击进入telenet属性界面，在常规选项卡中将启动类型改为自动或手动，再点击确定；再次进入telenet属性界面，将服务状态启用。

按键 “win+R”输入cmd，进入dos界面，在弹出界面中输入"net start telnet"回车，当屏幕显示"请求的服务已经启动。"，说明telnet服务已经在win xp虚拟机启动了

7、按键 “win+R" 输入control userpasswords2打开用户对话框；然后点击高级选项，进入后再点击高级用户管理的高级选项，可以打开本地用户组。

右键用户，点击新用户，添加新用户lmx并设置密码。

在组内点击TelnetClients，添加成员lmx。

8、win7宿主机上使用telnet连接到xp，输入上一步在win xp虚拟机设置的用户名称和密码。

9、回到win xp宿主机的cain上发现已经抓取到telnet的包，右键点击view可查看内容。

打开发现包含刚刚登录win xp宿主机时telnet的信息。

10、在win xp虚拟机中打开ftp服务：打卡windows控制面板，添加/删除程序，添加/删除windows组件，里面就能看到Internet信息服务，打钩，并点击右下侧的“详细信息”，再详细信息选项卡里把FTP服务选中，然后点击下一步安装即可。

右键我的电脑，点击管理，打开计算机管理选项卡，在默认FTP站点上点击右键，打开属性选项卡，即可以配置FTP站点信息。

11、在win7宿主机中使用ftp命令连接到win xp虚拟机的ftp，输入用户名和密码。

12、回到win xp宿主机的cain上发现已经抓取ftp包，显示着登录ftp的账号和密码。

13、在虚拟机上运行“cmd.exe”命令行程序，输入“ipconfig /all”查看网卡的 IP 和 MAC 地址信息。在宿主机（上运行“cmd.exe”命令行程序，输入“arp -a”查看当前的ARP 缓存，记录查看到的网关 IP 地址“192.168.153.1”和虚拟机 IP 地址“192.168.153.131”所对应的 MAC 地址值。

结果： 查看到的网关 IP 地址“192.168.153.1”和虚拟机 IP 地址“192.168.153.131”所对应的 MAC 地址值一致。

四、讨论与分析

1、如果你查看到的网关 IP 地址“x.x.x.1”和虚拟机 IP 地址“x.x.x.b”所对应的 MAC 地址值与虚拟机的 MAC 地址值一致，该现象说明什么问题？

ARP欺骗是指攻击者在有线或以太网上发送伪造的ARP信息，对特定IP所对应的的MAC地址进行假冒欺骗，从而达到恶意目的的攻击技术。该现象说明虚拟机对宿主机ARP欺骗成功，宿主机网关的mac地址被替换成了虚拟机的mac地址

2、单击主界面下方的“口令”标签，记录你所查看到的“被截获的敏感信息”。

（1）、telnet服务

抓取到telnet的包，右键点击view可查看内容。

结果：所截获的敏感信息为用户账号和密码。

（2）ftp服务

结果：所截获的敏感信息为用户账号和密码。