内外网模式下ARP欺骗讲述.docx

角色Ip地址Mac地址ftp服务器4000-25-64-ab-0c-d0用户01800-25-64-b3-1f-f6用户02000-25-64-b2-c3-b5欺骗者500-25-64-b3-ef-4d网关70-f9-6d-f8-59-3f 一．使用Serv-U搭建ftp服务器 1．建立域，见ftp服务器搭建在ip地址为40的主机上 2.建立两个用户，并为其设置密码、目录及权限。（”user01”,”111”）（”user02”,”111”） 3．在用户机上测试ftp服务器搭建是否成功，经测试，服务器搭建成功 二．在局域网内使用Cain进行ARP欺骗 1.分别在以下两者之间进行ARP欺骗 “用户01”（8）?---?ftp服务器（40） “用户02”（0）?---?ftp服务器（40） 2.实验现象 （1）分别在进行ARP攻击前后，在用户机和服务器上查看本地ARP缓存，可以看到在用户机中ftp服务器的mac地址变成了欺骗者的mac地址；而在服务器中两个用户机的mac地址也变成了欺骗者的mac地址 用户机上ARP缓存变化 ftp服务器ARP缓存变化 （2）同时，在用户机和服务器上运行的wireshark也捕捉到了欺骗者对用户机发送的ARP应答包 ①“用户01“主机上捕捉到的应答包 ②“用户02“主机上捕捉到的应答包 ③ftp服务器上捕捉到的用户01的ARP请求包 ④ftp服务器上捕捉到的用户02的ARP请求包 ⑤ftp服务器上捕捉到的用户01的ARP应答包 ⑥ftp服务器上捕捉到的用户02的ARP应答包 3.原理分析 欺骗者通过向用户主机和服务器发送发送ARP应答包，用户主机和服务器将应答包中的ip地址和mac地址存储在本机中的ARP缓存中。这个mac地址实际上为欺骗者的mac地址，所以被欺骗的用户主机和服务器均没有意识到自己实际上是件数据包发送给了中间的欺骗者，欺骗者完成了局域网内的ARP欺骗。 4.利用Cain截取用户登录服务器的密码 在用户机登录ftp服务器时，登录的账号”user01”和密码”111“被欺骗者截取 三．主机与外网通信中的ARP欺骗 1.利用cain对两台客户机“用户01”（8）和“用户02”（0）进行ARP欺骗使得两台客户机误以为同一网络内的“欺骗者”（5）为该网络网关（），如下图所示： 2.欺骗前后的用户机02的ARP表变化如下图所示 用wareshark抓欺骗过程的发送包发现来自欺骗机的应答欺骗使得客户机误以为它是该网关，如图所示： 用户机02登录微博，输入账号及密码，被欺骗机欺骗转发接收到，但是由于账号密码是加密传输，所以虽然对账号密码进行截获但是并不能直接以明文显示，如下图所示 通过实验使我们了解到对外网访问的ARP欺骗的原理及过程，让我们对ARP及相关的协议工作的过程有更清楚的了解。