实验I ARP攻击的攻、判、防
2.如何实施ARP攻击
这里介绍两款ARP攻击软件的使用方法,拓扑如图I-5所示。
|
图I-5 ARP攻击 |
第一款软件主要用于攻击,破坏正常的网络通信,如图I-5所示,在虚拟机2上安装“网络执法官”软件,破坏虚拟机1和真实机之间的正常通信,实验步骤如下。
正确配置各计算机的IP地址。虚拟机1的网卡类型Bridged,IP地址是192.168.1.220,掩码255.255.255.0,网关192.168.1.1,DNS是218.2.135.1。虚拟机2的网卡类型Bridged,IP地址是192.168.1.210,掩码255.255.255.0,网关192.168.1.1,DNS是218.2.135.1。真实机的IP地址是192.168.1.200,掩码255.255.255.0,网关192.168.1.1,DNS是218.2.135.1。
在虚拟机2上安装WinPcap。解压缩“网络执法官.rar”文件,双击“WinPcap30.exe”文件,开始安装WinPcap。
在虚拟机2上安装网络执法官软件。双击“网络执法官2.8破解版.exe”文件开始安装网络执法官。
运行网络执法官。第一次运行执法官,打开如图I-6所示对话框,提示进行监控参数选择。
|
图I-6 监控参数选择 |
因为只有一块网块,选中最上面的网卡复选框,单击“确定”按钮。打开如图I-7所示的监控范围选择对话框,在指定监控范围中列出网卡所在子网的所有可用IP地址,单击图中的“添加/修改”,把范围加入后,单击“确定”按钮。
|
图I-7 监控范围选择 |
攻击前测试。在虚拟机1上,打开DOS窗口,输入ping 192.168.1.200 –t,持续的ping真实机的IP地址,可以发现是通的。不要关闭该窗口。
开始攻击。网络执法官软件可以监测到同一个子网中所有在线的主机,在网络执法官的管理界面中,右键单击真实机,从快捷菜单中选择“手工管理”,如图I-8所示。
|
图I-8 执法官管理界面 |
在如图I-9所示的对话框中,选中第三个选项“禁止与所有其他主机…”,单击“开始”,此时可以发现虚拟机1和真实机之间的ping测试开始提示“Request timed out”,通信中断了。实际环境中,还可以只选中“禁止与关键主机连接…”,然后单击“关键主机”,加入网关的地址,这样被攻击计算机只会中断与网关的连接,和局域网内计算机之间的通信不会中断。
|
图I-9 手工管理计算机 |
第二款软件主要用于窃取有用信息,如图I-5所示,在虚拟机1上安装“Cain & Abel”软件,破坏虚拟机1和真实机之间的正常通信,实验步骤如下。
在虚拟机1上安装Cain & Abel。双击“ca_setup.exe”文件,开始安装,安装接近结来时,会提示需要安装WinPcap4.0,如图I-10所示,选择“Install”,开始安装WinPcap4.0。
|
图I-10 安装WinPcap4.0 |
运行Cain & Abel。双击桌面上的“Cain”图标,打开Cain & Abel的管理界面,单击管理界面中的“Start/Stop Sniffer”图标,如图I-11所示,开始抓包。
|
图I-11 开始Sniffer |
集线器环境下的密码获取。单击图I-11中上方的“Sniffer”选项卡,再单击下方的“Passwords”选项卡,开始捕获敏感的密码信息,包括邮件,Telnet,FTP等。在虚拟机2上开启Telnet服务,在真实机上telnet 192.168.1.210,然后输入用户和密码进行登录,如图I-12所示左侧导航栏中的Telnet提示捕获了一条信息。
|
(点击查看大图)图I-12 监听敏感信息 |
单击左侧导航栏中的“Telnet”,在右边的列表栏中,右键单击捕获的那个条目,在快捷菜单中选择“View”,打开如图I-13所示的记事本文件,从中不难看出用户名是administrator,密码是cisco。图中administrator单词中每个字母显示了两次,因有一次是telnet的回显。
|
图I-13 捕获的密码文件 |
交换机环境下的密码获取。刚才很容易获取密码的原因是因为虚拟机1和虚拟机2,以及真实机都是连接在真实机的网卡上,相当于都接在一台集线器上,现实环境中,更常见的是交换机,交换机不会把两台主机或某台主机与网关之间的通信传给攻击者的主机。这时就需要使用ARP欺骗,单击如图I-12所示下方的“ARP”选项卡,再单击“Add to list”工具栏图标,如图I-14所示。
|
图I-14 增加ARP欺骗到列表 |
打开ARP的条目如图I-15所示,在左边选中一个IP地址,在右边选中一个IP地址,这两个IP地址的主机将被欺骗。
|
(点击查看大图)图I-15 选择被欺骗的计算机 |
单击“OK”按钮返回,再单击图I-11所示工具栏“Start/Stop Sniffer”图标右边的 “Start/Stop ARP”图标,开始执行ARP欺骗,如图I-15所示选择的计算机之间的通信将从虚拟机1中转,虚拟机1自然可以获取它们之间的明文敏感信息。由此看来交换机的网络也存在安全隐患。
(责任编辑:IT) |