利用Abel_Cain软件实现ARP欺骗实验笔记

 ARP协议及ARP欺骗

        ARP协议是“Address Resolution Protocol”（地址解析协议）的缩写。在局域网中，网络中实际传输的是“帧”，帧里面是有目标主机的MAC地址的。在以太网中，一个主机要和另一个主机进行直接通信，必须要知道目标主机的MAC地址。但这个目标MAC地址是如何获得的呢？它就是通过地址解析协议获得的。所谓“地址解析”就是主机在发送帧前将目标IP地址转换成目标MAC地址的过程。ARP协议的基本功能就是通过目标设备的IP地址，查询目标设备的MAC地址，以保证通信的顺利进行。

        局域网中的主机1与主机2通信，主机1会先发送ARP请求包（请求包中有2的IP地址），2发送ARP响应包给1,1获得主机A的MAC地址，1利用MAC地址给2传输数据。这里主机A通过使用Abel&cain软件，主动给目标B发送ARP回应包（数据包中携带IP为网关的IP，MAC是A主机的MAC），让目标B更新自己的ARP缓存表。更新后B本地ARP表中网关的MAC地址就是主机A的MAC地址，在主机B看来网关就是A，达到欺骗局域网中某个特定目标的目的。

使用Abel_Cain软件实现ARP欺骗

        进行这个实验，首先需要安装好Abel_Cain,并且选择好网卡。

        在Abel_Cain中，点击左上角按钮，启用sniffer，然后在空白区右键选择“Scan Mac Addresses”，扫描局域网中的主机。选择默认，点击“OK”，就可以显示局域网中的主机情况。

 

        点击左下角“ARP”选项，然后点击红色方框空白区域，此时左上角的“+”图标会变深色，点击“+”图标。在窗口左边显示了局域网中的主机和网关，在右侧部分，我们点击10.1.1.90（即网关），点击“OK”。左侧部分表示对哪一个主机进行欺骗，在这里我们选择10.1.1.231（即主机B）；右侧部分表示Abel&cain进行伪造的主机，在这里我们选择网关即运行Abel&cain的主机（这里是A）要冒充网关。对B（10.1.1.231）进行ARP欺骗，欺骗的结果是主机B会认为网关是运行Abel&cain软件的主机（即主机A）。在右侧部分选择的主机，就是Abel&cain进行伪造的对象。

        点击左上角的图标，开始对主机B（10.1.1.231）进行欺骗。 

        这时，在主机B上ping主机A并输入arp -a查看，网关的MAC地址就是主机A的MAC地址了。主机B会把A作为网关。

        主机B发往外界的数据包，会经过主机A，至此就完成了对主机B的ARP欺骗。

        然后在arp欺骗的基础上进行DNS欺骗。

        首先在主机B上ping tools.hetianlab.com，此时解析到10.1.1.254，打开tools.hetianlab.com/，可以看到apache的默认主页。访问tools.hetianlab.com/tools，可以看到一些工具。

 

 

        进入主机A，来到ARP欺骗界面。 在空白区域右击，选择“Add to list”。“DNS Name Requested”表示对方（主机B）输入的url，下面的IP栏表示要将对方输入的url解析成的IP。

        在主机A10.1.1.39上搭建了一个web服务器，并且有配置tools.hetianlab.com的域名。在主机B上访问“tools.hetianlab.com”时，会自动跳转到10.1.1.39指定的服务器页面上。该页面是模仿的百度首页。

        在主机B上ping tools.hetianlab.com，可以看到，此时该域名已经指向了10.1.1.39。

        访问“tools.hetianlab.com”，查看结果。 

        而如果此时再访问tools.hetianlab.com/tools，会提示404。

        如果做一个WEB认证的钓鱼网站，当对方登陆某WEB认证网站的时候发送的WEB认证信息将转到你的钓鱼网站上。这个问题就大了，建议加强安全意识，提高安全措施。

        进入左下角的“Passwords”项，点击左侧“HTTP”，就可以监视主机B在进行HTTP请求时输入的用户名密码情况。

 

        在主机B上，访问 tools.hetianlab.com/login.php，输入用户名：username，密码：pass，点击“登陆”。在主机A上即可看到输入情况，但这里不保证用户输入的是正确的用户名和密码，这里只是拿到了用户名输入的数据而已。对于我们这里伪造的“tools.hetianlab.com”我们拿到的用户名、密码是明文，但大部分其他网站数据是加过密的，如126邮箱等。

        

 

 怎样防止ARP欺骗

1.MAC 地址绑定，使网络中每一台计算机的 IP 地址与硬件地址一一对应，不可更改。

2.建议使用静态 ARP 缓存，用手工方法更新缓存中的记录，使 ARP 欺骗无法进行。

3.如果可以最好使用 ARP 服务器，通过该服务器查找自己的 ARP 转换表来响应其他机器的 ARP 广播。确保这台 ARP 服务器不被黑。

4.可以安装专门针对 ARP 攻击的防御设备或者防御软件，使用 ARP 欺骗防护软件如 ARP 防火墙来加强防护。

5.及时发现正在进行 ARP 欺骗的主机并将其隔离。

6.双绑措施即在路由器和终端上进行 IP 地址和 MAC 地址的绑定，他可以有效的对 ARP 欺骗的两倍，伪装网关和截获数据都有约束作用。这种方式是从 ARP 欺骗原理上进行防范，是比较普遍的解决方案。

7.可以借助 ARP 防火墙，目前市面上很多杀毒软件会加入 ARP 个人防火墙功能模式，这种防护模式也是通过将终端计算机和网关进行绑定，保证不受网络设备中假网关的欺骗，从而保护自身的数据不被窃取。

8.VLAN 和交换机端口绑定来进行防护，可以细致的划分 VLAN 减小广播域的范围，即时遭受到 ARP 攻击也能尽可能使 ARP 攻击在小范围内起作用，而不至于发生大规模影响

 怎样发现局域网中存在的ARP欺骗

         在窗口中输入“arp -a”命令)如果发现网关的MAC地址发生了改变,或者发现有很多IP指向同一个物理地址,那么肯定就是ARP欺骗所致。