不是教你學(xué)壞 實戰(zhàn)發(fā)起ARP攻擊

首先， 準(zhǔn)備測試環(huán)境。 小編打算這樣做：使用三個虛擬WINDWOS XP系統(tǒng)， 分別為A1、A2、A3， 使用A3破壞A1與A2之間的正常通訊。

各主機詳細信息

　　注意!在“搞破壞”時不能對公司的網(wǎng)絡(luò)產(chǎn)生任何影響——這點要絕對注意， 任何時刻， 任何人都不該通過任何方式考驗我們的網(wǎng)絡(luò)， 所以小編在做測試時都是斷網(wǎng)操作的——禁用物理PC上的物理網(wǎng)卡， 在VMWARE中使用Host-only主機模式。

　　什么是VMWARE host-only (主機模式)？讓我們來簡單了解一下：如果你想利用VMWare創(chuàng)建一個與網(wǎng)內(nèi)其他機器相隔離的虛擬系統(tǒng)， 進行某些特殊的網(wǎng)絡(luò)調(diào)試工作， 可以選擇host-only模式。 在VMWARE 的 host-only模式中， 所有的虛擬系統(tǒng)是可以相互通信的， 但虛擬系統(tǒng)和真實的網(wǎng)絡(luò)是被隔離開的。

　　搭建環(huán)境的步驟很簡單， 小編使用VMWARE安裝了一個WINDOWS XP系統(tǒng)， 然后退出VMWARE， 將虛擬XP的實體文件COPY兩份， 這樣小編就有了三份XP。

XP同胞三兄弟其實在“克隆”XP三胞胎時小編有個顧慮， 就是這三個系統(tǒng)的網(wǎng)卡MAC地址會不會相同， 這樣肯定是不可以的。 先不管那么多， 起動這三個XP再說， 天啊， 那叫一個慢， 小編0.99G的內(nèi)存——被集成顯卡挖了點“墻角”， Intel Celeron CPU 1.6G， 也就這速度了， 下回不同時起動它們?nèi)齻�就是了。 起動后立刻查看這三個系統(tǒng)虛擬網(wǎng)卡的MAC地址， 有點出乎編的意外， WMWARE已經(jīng)為它們各自分配了不同的MAC。 小編想驗證一下， 對于VMWARE， MAC是被隨機生成的， 還是真的VMWARE比較“聰明”？“智商”測驗題目很簡單， 記下當(dāng)前MAC， 重起XP， 比對一下前后的MAC， 結(jié)果證明——VMWARE還是比較聰明的。

The "3"

　　環(huán)境準(zhǔn)備好后， 安裝“網(wǎng)絡(luò)執(zhí)法官”， 安裝完畢當(dāng)選擇要監(jiān)控的網(wǎng)卡時“網(wǎng)絡(luò)執(zhí)法官”報了個錯， 如下圖， 由于小編為主機A3分配的是一個A類地址， 每個A類IP網(wǎng)段可容納16777216臺主機， 遠超過了“網(wǎng)絡(luò)執(zhí)法官”所要求的65536臺主機這一數(shù)量， 看來“網(wǎng)絡(luò)執(zhí)法官”默認情況下無法使用在A類IP網(wǎng)絡(luò)中。

在這里所描述的A類IP地址為什么是1677216個而不是1677214個， 小編在這里要說明一下， 1677214這個數(shù)量是除去了主機位全部為0和全部為1的兩個地址， 例如IP地址：10.0.0.0/8和10.255.255.255/8， 這兩個地址不能分配給網(wǎng)段中的設(shè)備使用， 前者主機位全部為0， 這個IP地址所表示的是當(dāng)前網(wǎng)絡(luò)的網(wǎng)絡(luò)地址， 而非是某個主機地址， 而后者所表示的是10.0.0.0這個網(wǎng)段的廣播地址。 這兩個地址雖不能分配給終端設(shè)備使用， 但對于網(wǎng)絡(luò)來講它們確實起著各自的作用， 如下圖， 主機發(fā)送的廣播包， 此時的網(wǎng)絡(luò)地址是：10.0.0.0 ， 子網(wǎng)掩碼是：255.255.255.0 ， 或表示為10.0.0.0/24 ， 廣播地址是10.0.0.255。 此時就不難理解為什么“網(wǎng)絡(luò)執(zhí)法官”所監(jiān)控的IP地址范圍是65536個， 而不是65534個。 65534是B類IP網(wǎng)段所能容納的可供分配的IP地址個數(shù)。

10.0.0.0/24 網(wǎng)段上的廣播包

　　稍等， 小編收回剛才所說的話， “網(wǎng)絡(luò)執(zhí)法官”并非不能使用在A類IP網(wǎng)絡(luò)中。 “網(wǎng)絡(luò)執(zhí)法官”所在乎的似乎是主機數(shù)量， 小編將IP 10.0.0.10的子網(wǎng)掩碼由默認的255.0.0.0改為255.255.255.0后， 成功進入， 此時的IP地址范圍為10.0.0.1 – 10.0.0.254。

點擊確定后“網(wǎng)絡(luò)執(zhí)法官”將檢查以太網(wǎng)中的活動主機， 并列出相關(guān)信息， 如下圖：

　　讓我們使用Wireshark從另一個角度看一下“網(wǎng)絡(luò)執(zhí)法官”都做了些什么？

　　“網(wǎng)絡(luò)執(zhí)法官”將整個子網(wǎng)（10.0.0.1-10.0.0.254）都掃描了個遍， 具體方法當(dāng)然就是使用ARP協(xié)議了， 如果某個IP地址被使用， 則會被“網(wǎng)絡(luò)執(zhí)法官”登記在冊， 如10.0.0.10這個IP地址， 它就成為了“網(wǎng)絡(luò)執(zhí)法官”的第一個收獲， 也就是主機A1。 隨后它還發(fā)現(xiàn)了10.0.0.20這個IP， 也就是主機A2。 制造IP地址沖突

　　使用“網(wǎng)絡(luò)執(zhí)法官”制造IP地址沖突非常簡單， 小編之前在《ARP攻擊之 制造IP地址沖突》一文中有介紹過WINDOWS系統(tǒng)是使用什么機制來判斷以太網(wǎng)中是否存在沖突IP地址的， 現(xiàn)在我們可以通過實踐來加深一下理解。

　　小編右鍵選中主機A， 選擇“手工管理”， 管理方式為IP沖突， 頻率設(shè)置為每5秒造成1次。

 　　為什么設(shè)置為5秒？設(shè)置為5秒只是為了方便在主機A1上使用Wireshark查看收到的攻擊數(shù)據(jù)包。

　　如上圖所示的情況， 針對目標(biāo)地址vmware_64:ab:ea ， ARP Reply數(shù)據(jù)包源地址一欄出現(xiàn)了數(shù)個不同的MAC地址， 這些當(dāng)然都是虛假的， 這些虛假數(shù)據(jù)包真正來自何處呢？當(dāng)然是A3這臺就機， 也就是源地址一欄MAC地址為vmware_a2:04:9d的主機（它正在掃描整個子網(wǎng)）。 但糟糕的是在虛假的數(shù)據(jù)包中我們看到不“元兇”。 制造ARP欺騙

　　現(xiàn)在小編使用主機A3通過ARP欺騙破壞主機A1與外界的通訊， 實施步驟很簡單， 在“網(wǎng)絡(luò)執(zhí)法官”中使用“手工管理”下的“禁止與所有其它主機（含關(guān)鍵主機）的連接”， 如下圖：

　　主機A3在持續(xù)不斷的攻擊A1， 現(xiàn)在我們在主機A2上測試一下與主機A1之間的通訊狀況。

　　在上圖中不知各位同學(xué)發(fā)現(xiàn)沒有， 從A2 ping A1還是ping通了一次的。 從第二個ping包開始就不通了， 而且以后也別想ping通， 為什么能ping通第一次呢？因為在ping之前， 小編使用arp –d命令清空了主機A2的ARP緩存表， ping在通過ARP協(xié)議解析A1的MAC地址時還是成功的， 不過也就在此刻被“網(wǎng)絡(luò)執(zhí)法官”發(fā)現(xiàn)了， 隨后“網(wǎng)絡(luò)執(zhí)法官”開始向A2發(fā)送虛假的ARP數(shù)據(jù)包， 更新了A2上的ARP緩存表， A1正確的MAC地址是00-0C-29-64-AB-EA， 而非00-0C-29-5D-D3-88——這時A2就“迷路”了， 找不到A1了。

　　讓我們看一下Wireshark中的情況：

　　如上圖中23行-26行所示， 第一次的ping操作是成功的， 但在接下來的第27、28行你就可以看到， 虛假的ARP被發(fā)送到主機A1和A2上， 主機A2更新的自己的ARP緩存表后， 開始發(fā)出第二次ping操作——第29行中的內(nèi)容， 但卻收不到回應(yīng)， 直到ping操作超時顯示 Request time out 。