用Sniffer pro 实现ARP***<?xml:namespace prefix = o ns = "urn:schemas-microsoft-com:office:office" />
ARP协议:ARP协议是“Address Resolution Protocol”(地址解析协议)的缩写。在局域网中,网络中实际传输的是“帧”,帧里面是有目标主机的MAC地址的。在以太网中,一个主机和另一个主机进行直接通信,必须要知道目标主机的MAC地址。但这个目标MAC地址是如何获得的呢?它就是通过地址解析协议获得的。所谓“地址解析”就是主机在发送帧前将目标IP地址转换成目标MAC地址的过程。ARP协议的基本功能就是通过目标设备的IP地址,查询目标设备的MAC地址,以保证通信的顺利进行。
原理:ARP欺骗常见的分为两种,一种是对路由器的ARP表进行欺骗;另一种是
直接对目标进行欺骗。
第一种ARP欺骗原理是先获取网关的的数据,然后不断的通知路由器一
第一种ARP欺骗原理是先获取网关的的数据,然后不断的通知路由器一
些错误的MAC地址。使路由器的更新和自身的学习赶不上欺骗的速度。
第二种ARP欺骗原理不是欺骗路由器,而是直接欺骗目标主机。通过不
第二种ARP欺骗原理不是欺骗路由器,而是直接欺骗目标主机。通过不
断地向目标主机发送一些错误的ARP响应包来更换目标主机的MAC地址表
,使其不能找到正确的网关。
现象:
1.不断弹出“本机的XXX段硬件地址与网络中的XXX段地址冲突”的对话框。
2.计算机不能正常上网,出现网络中断的症状,时断时续。根据对方发起***的频率。
实例:
一:试验环境
1.
我的试验环境清单:
aizzw为用Sniffer pro来***的电脑
zzw123为被***的电脑,这里用360自带的ARP防火墙侦测
我这里先列出IP地址、MAC地址对应的十六进制详细清单。
<?xml:namespace prefix = v ns = "urn:schemas-microsoft-com:vml" />
二:手动制作ARP***包
(我这里通过修改已有的包来实现***)
(一):为了在捕获的大量数据帧中便于识别,先搜集主机列表信息
1.点击搜索,这里为了快速搜索到,输入该IP段
![](https://i-blog.csdnimg.cn/blog_migrate/a438f4a0af5e47b6a7f7490f15803ce3.gif)
2.正在搜索
![](https://i-blog.csdnimg.cn/blog_migrate/9c1276d486f7700021fb4e0436f1070d.gif)
3.搜集到的主机列表
![](https://i-blog.csdnimg.cn/blog_migrate/cbc8bb73c4cb177141a0348e52535970.gif)
4.编辑便于自己识别的名称
![](https://i-blog.csdnimg.cn/blog_migrate/c94cd2cd0644e6301de7a494253f338b.gif)
(二):定义过滤器,捕获数据包
1.打开Sniffer,然后点击菜单栏中捕获菜单下的定义过滤器
.
![](https://i-blog.csdnimg.cn/blog_migrate/5dde3c016f1e7ba1d05930aa99d01446.gif)
2.点击配置文件。
![](https://i-blog.csdnimg.cn/blog_migrate/25fff97ac6bc0ce2922b3c743ea87ba6.gif)
3.点击新建
![](https://i-blog.csdnimg.cn/blog_migrate/e8cb62dc48820614a22dad0344b7cab8.gif)
4.用默认模板,给这个过滤器取个便于识别的名字。我这里为“ARP过滤”,点击好
![](https://i-blog.csdnimg.cn/blog_migrate/706170e03f97ab7dffbf8de6c0a3be10.gif)
5.这时候就多了一个刚才添加的过滤文件,点击完成。
![](https://i-blog.csdnimg.cn/blog_migrate/8a52790e15fa74e2a3e1d0dbffe18c27.gif)
7.选中“Arp过滤”,在高级页勾选ARP协议
![](https://i-blog.csdnimg.cn/blog_migrate/ece9045e9c4427a041cbd78bced42ec8.gif)
8.这时候在捕获条件下拉菜单中就多出了我刚才添加的那个过滤器,选中ARP过滤,点击开始捕获。
![](https://i-blog.csdnimg.cn/blog_migrate/7b0d5a145c35cd76f330d4a4a7333ccf.gif)
9.这时候就可以看到面板下面显示捕获到的数据包数量
![](https://i-blog.csdnimg.cn/blog_migrate/e28c68a7fd495cab759f57ccfc599eed.gif)
10.先用ARP –a查看一下,发现有缓存。
用ARP –d清空缓存,这里是为了得到ARP包。
![](https://i-blog.csdnimg.cn/blog_migrate/4cbf8c4547b257917b1b738060144333.gif)
11.用ping命令ping要***的计算机IP以便得到MAC地址。
![](https://i-blog.csdnimg.cn/blog_migrate/8e9fd7027a967037184f818ea4fc2343.gif)
12.捕获的到数据包以后点击停止并显示
![](https://i-blog.csdnimg.cn/blog_migrate/eb691b2f9c24cc321b74493e61945b71.gif)
13.选择一个ARP响应包,我这里选择aizzw和zzw123的通讯包
![](https://i-blog.csdnimg.cn/blog_migrate/aca6e308969390cbfef7f7ca9a67e0b9.gif)
14.从下图可以看到源和目标IP,如下图的00<?xml:namespace prefix = st1 ns = "urn:schemas-microsoft-com:office:smarttags" />-0c-29-52-48-b0对应
IP192.168.0.120,计算机名zzw123
![](https://i-blog.csdnimg.cn/blog_migrate/8afb20cedfba8a4de4af95f83c52fdc3.gif)
14.右击这一帧,选择发送当前帧
![](https://i-blog.csdnimg.cn/blog_migrate/775bd67918fcf0eb99a01f890b364035.gif)
15.在这一帧可以找到源IP和目标IP,注意这里都是以十六进制来显示,包括后面的修改也是以十六进制来修改。所以之前我的对应清单很有用哦
![](https://i-blog.csdnimg.cn/blog_migrate/b735b07d6785fab06ee86de17866ed5a.gif)
16.对应要改的MAC的地方
![](https://i-blog.csdnimg.cn/blog_migrate/6abf87b44bf9316cb2ff335f7a562bc9.gif)
![](https://i-blog.csdnimg.cn/blog_migrate/b8756faf6b8a122903056208b6cb982a.gif)
17.发送延迟,以及发送该帧次数,修改好后点击确定。
更改细则:
数据链路层的更改:
源MAC 改为 AIZZW的MAC
目标MAC 改为 ZZW123的MAC
网络层的更改:
发送MAC 改为 AIZZW的MAC
发送的IP 改为网关的IP(这里的网关为真是的网关IP地址,这里至关重要)
目标MAC 改为 ZZW123的MAC
目标IP 改为ZZW123的IP
(细心的朋友会发现下面的这张图的就***方向看DLC层源和目标改反啦。具体哪,只有你亲身做了才知道)
![](https://i-blog.csdnimg.cn/blog_migrate/66c3d59237e628b78bf6475911778f9e.gif)
(再提醒一次所有的更改都是十六进制,这个可以用系统自带计算器calc来换算。例192.168.0.120对应c0 a8 00 78)
(三)侦测***
这时被***的计算机ZZW123的ARP防火墙侦测到了这一***,点击追踪***源IP可找到实际ARP***的发起者aizzw对应的IP,至此***完成。(如果不想追踪到自己是***的发起者,就不要用自己的真是MAC地址,我这里只是我的两台虚拟机试验)
最简单的方法就是用ARP -a查看网关的MAC地址和之前正常时的MAC地址是否一样,如果不一样就说明被欺骗了。
![](https://i-blog.csdnimg.cn/blog_migrate/8d43a3604535fbe247e2ef0b54a24d71.gif)
ARP防火墙检测结果(点击该图片查看清晰的原图)
转载于:https://blog.51cto.com/aizzw/112523