基于P2P终结者的ARP攻击实践（截取数据&获取上网账号密码）

1、实验目的

• 使用P2P终结者/Ettercap/Cain攻击
• 用wireshark抓包分析ARP扫描和ARP扫描和ARP欺骗
• 用Wireshark抓取上网账号密码

2、实验环境

• 网络：winserver 2003 <–>Win XP ，两台主机同处一个局域网，能互相ping通
• 角色：Win Server 2003 安装P2P终结者模拟黑客，Win XP模拟肉鸡/靶机

3、实验流程

1. 启动P2P终结者，选择”智能选择网卡“
   

2. P2P终结者自动识别网络中其他主机
   

3. 启动Win 2003上的Wireshark，监听网卡流量
   

4. 在P2P终结者中点击“扫描网络”（ARP扫描）
   

   此时在wireshark中可以抓到大量ARP请求询问包
   

5. 在Win XP中用命令arp -a查看arp映射表。此时，可以观察到映射表是正常的。
   

6. 在P2P中选择目标主机192.168.40.132，点击“启动提速”（ARP欺骗）
   

   此时，通过wireshark可以抓取到WIN 2003发出的欺骗包（欺骗他人说自己是网关）
   
   

   然后，在WIN XP上查看arp 映射表，此时会发现网关的MAC地址发生了变化，不再是原先的MAC地址，而是变成了Win 2003的MAC地址
   

7. 测试Win XP上访问互联网的流量是否会被Win 2003拦截
   1）在Win XP上访问互联网上地址114.114.114.114
   

   2）在Win 2003中的wireshark中采用icmp 协议过滤数据流，看是否能抓取到WIN XP访问互联网的数据流量
   

   从这里可以看出，Win 2003已经完全截取了WIN XP访问互联网的流量

8. 在Win 2003上窃取Win XP的上网账号密码
   1）这里以Win XP访问互联网路由器为例telnet route-server.ip.att.net
   

   2）在wireshark中过滤telnet 协议数据，并采用“ follow TCP stream ”功能
   

   

   此时，能够发现，在WIN 2003上已经能够看到WIN XP上访问互联网的账号和密码信息。

4、实验总结

1. ARP映射表基于“后到优先”原则，IP与MAC地址的映射信息能被覆盖
2. ARP攻击基于伪造的ARP回应包，黑客通过构造”错位“的IP和MAC映射，覆盖主机的ARP表（称ARP毒化），以此实现截取用户数据流的目的。
3. 如果通信协议不是加密的，上网的账号密码都有可能被窃取。