计算机网络实验二:ARP欺骗

这篇具有很好参考价值的文章主要介绍了计算机网络实验二:ARP欺骗。希望对大家有所帮助。如果存在错误或未考虑完全的地方,请大家不吝赐教,您也可以点击"举报违法"按钮提交疑问。

计算机网络实验二:ARP欺骗

博客链接:https://www.blog.23day.site/articles/66

一、wireshark

要求:配置并使用wireshark,在无线环境下监听非本机的数据码流,记录并解释如下集中情况下听到的数据包的意义,并对比分析

简介

Wireshark是一种抓包工具,这种工具比fiddler更强大,消息量更多。大家可能会问:有了fiddler,为什么还要用wireshark呢?这里说下,在测试中,发现用fiddler抓包,有些包是没有抓到的,比如在验证反作弊信息的时候,反作弊pingback信息的消息用fiddler就没抓到,用wireshark就抓到了。还有另外一种情况,就是在验证cna的时候,如果先用fiddler抓包,如果没有种下cna的时候,以后就永远没有cna了,情况很诡异。解决办法就是把包卸载了重新安装,第一次用wireshark抓包。

Wireshark优势:

1、强大的协议解析能力,一到七层全解码,一览无遗,对于协议细节的研究特别有帮助。

2、对于https加密流量,只要将浏览器的session key 自动导入wireshark,Wireshark可以自动解密https流量。

Wireshark不足之处:

尽管可以自定义过滤列表,但为了抓取一个特定TCP Flow /Session 流量需要写一个长长的过滤列表,这对于初学者很不友好。

原理

wireshark是捕获机器上的某一块网卡的网络包,当你的机器上有多块网卡的时候,你需要选择一个网卡。因为网络上传输的数据包通过网卡进入到网络协议分析器系统。

网络上传输的数据包通过网卡进入到网络协议分析器系统。协议分析器所使用的网卡和网卡 驱动程序必须能够支持“混杂模式操作(Promiscuous Mode Operation)”。因为只有运行在混杂模式下的网卡才能够捕获到网络中传输到其他设备的“广播数据包、多播数据包、单播数据包以及错误数据包等等”,两者一起协同工作。

计算机网络实验二:ARP欺骗

抓非本地的包

1.简介

获取非本地的数据流的主要方法:

1.port映射

局域网内。在同一交换机下工作的PC机,如图1.29所看到的。PC机A和PC机B在同一交换机下工作。PC机A安装Wireshark后。把交换机上随意一个PC机的数据port做镜像,设置交换机来复制全部数据到用户交换port下的Wiresharkport。这时PC机A就能够抓取到其它PC机的数据了。如抓取PC机B的数据。

2.使用集线器

交换机换成集线器,这种话全部的数据包都是通发的。也就是说,无论是谁的数据包都会发到这个集线器上的每一个计算机。

仅仅要将网卡设置为混杂模式就能抓到别人的包。

3.利用ARP欺骗

我们都知道。发送、接受数据都要经过路由器

PC机A安装Wireshark后,能够利用ARP欺骗,来抓取PC机B、PC机C或PC机B与PC机C之间的数据包了。PC机A在局域网内发送ARP包,使其它计算机都误以为它是网关。这种话。其它计算机都会将它们的数据包发送到PC机A那里,因此PC机A就能够抓到它们的包了。

2.arp欺骗

在每台主机都有一个ARP缓存表,缓存表中记录了IP地址与MAC地址的对应关系,而局域网数据传输依靠的是MAC地址。

假设主机 A 192.168.1.2,B 192.168.1.3,C 192.168.1.4; 网关 G 192.168.1.1; 在同一局域网,主机A和B通过网关G相互通信,就好比A和B两个人写信,由邮递员G送信,C永远都不会知道A和B之间说了些什么话。但是并不是想象中的那么安全,在ARP缓存表机制存在一个缺陷,就是当请求主机收到ARP应答包后,不会去验证自己是否向对方主机发送过ARP请求包,就直接把这个返回包中的IP地址与MAC地址的对应关系保存进ARP缓存表中,如果原有相同IP对应关系,原有的则会被替换。

这样C就有了偷听A和B的谈话的可能,继续思考上面的例子:

C假扮邮递员,首先要告诉A说:“我就是邮递员” (C主机向A发送构造好的返回包,源IP为G 192.168.1.1,源MAC为C自己的MAC地址),愚蠢的A很轻易的相信了,直接把“C是邮递员”这个信息记在了脑子里;

C再假扮A,告诉邮递员:“我就是A” (C向网关G发送构造好的返回包,源IP为A 192.168.1.2,源MAC地址为自己的MAC地址),智商捉急的邮递员想都没想就相信了,以后就把B的来信送给了C,C当然就可以知道A和B之间聊了些什么

3.arpspoof

在A物理机上开启kali,在kali内获取B物理机上的数据流

  1. 获取物理机的ip地址,确认网关等

  2. fping查看当前局域网还存在哪些主机,确定要攻击的主机是否存在

    计算机网络实验二:ARP欺骗

  3. 更改ip转发为1,然后用arpspoof工具开始arp欺骗

    计算机网络实验二:ARP欺骗

  4. 在kali里面开启wireshark,并用过滤器获取物理机的包

    计算机网络实验二:ARP欺骗

4.分析

arp协议

一台主机有IP数据报文发送给另一台主机,它都要知道接收方的逻辑(IP)地址。但是IP地址必须封装成帧才能通过物理网络。这就意味着发送方必须有接收方的物理(MAC)地址,因此需要完成逻辑地址到物理地址的映射。而ARP协议可以接收来自IP协议的逻辑地址,将其映射为相应的物理地址,然后把物理地址递交给数据链路层。
计算机网络实验二:ARP欺骗
Ethernet II: 数据链路层以太网帧头部信息,在这里我们可以看到地址是ff:ff:ff:ff:ff:ff:ff也就是广播地址,而源mac地址是44:1a:fa:d4:70:02

下面的地址解析协议可以看到,源ip地址和目的ip地址

计算机网络实验二:ARP欺骗

我们去看到这个info中,简介易懂的写到,who has 10.63.**.**

另外在这里可以看到一个arp的请求和响应

计算机网络实验二:ARP欺骗

在请求包中

计算机网络实验二:ARP欺骗

在响应包中

计算机网络实验二:ARP欺骗

可以很明显的看到询问由ip地址获取mac地址的过程

dhcp协议

DHCP(Dynamic Host Configuration Protocol,动态主机配置协议),前身是BOOTP协议,是一个局域网的网络协议,使用UDP协议工作,统一使用两个IANA分配的端口:67(服务器端),68(客户端)。DHCP通常被用于局域网环境,主要作用是集中的管理、分配IP地址,使client动态的获得IP地址、Gateway地址、DNS服务器地址等信息,并能够提升地址的使用率。简单来说,DHCP就是一个不需要账号密码登录的、自动给内网机器分配IP地址等信息的协议

报文类型 说明
Discover(0x01) DHCP客户端在请求IP地址时并不知道DHCP服务器的位置,因此DHCP客户端会在本地网络内以广播方式发送Discover请求报文,以发现网络中的DHCP服务器。所有收到Discover报文的DHCP服务器都会发送应答报文,DHCP客户端据此可以知道网络中存在的DHCP服务器的位置。
Offer(0x02) DHCP服务器收到Discover报文后,就会在所配置的地址池中查找一个合适的IP地址,加上相应的租约期限和其他配置信息(如网关、DNS服务器等),构造一个Offer报文,发送给DHCP客户端,告知用户本服务器可以为其提供IP地址。但这个报文只是告诉DHCP客户端可以提供IP地址,最终还需要客户端通过ARP来检测该IP地址是否重复。
Request(0x03) DHCP客户端可能会收到很多Offer请求报文,所以必须在这些应答中选择一个。通常是选择第一个Offer应答报文的服务器作为自己的目标服务器,并向该服务器发送一个广播的Request请求报文,通告选择的服务器,希望获得所分配的IP地址。另外,DHCP客户端在成功获取IP地址后,在地址使用租期达到50%时,会向DHCP服务器发送单播Request请求报文请求续延租约,如果没有收到ACK报文,在租期达到87.5%时,会再次发送广播的Request请求报文以请求续延租约。
ACK(0x05) DHCP服务器收到Request请求报文后,根据Request报文中携带的用户MAC来查找有没有相应的租约记录,如果有则发送ACK应答报文,通知用户可以使用分配的IP地址。
NAK(0x06) 如果DHCP服务器收到Request请求报文后,没有发现有相应的租约记录或者由于某些原因无法正常分配IP地址,则向DHCP客户端发送NAK应答报文,通知用户无法分配合适的IP地址。
Release(0x07) 当DHCP客户端不再需要使用分配IP地址时(一般出现在客户端关机、下线等状况)就会主动向DHCP服务器发送RELEASE请求报文,告知服务器用户不再需要分配IP地址,请求DHCP服务器释放对应的IP地址。
Decline(0x04) DHCP客户端收到DHCP服务器ACK应答报文后,通过地址冲突检测发现服务器分配的地址冲突或者由于其他原因导致不能使用,则会向DHCP服务器发送Decline请求报文,通知服务器所分配的IP地址不可用,以期获得新的IP地址。
Inform(0x08) DHCP客户端如果需要从DHCP服务器端获取更为详细的配置信息,则向DHCP服务器发送Inform请求报文;DHCP服务器在收到该报文后,将根据租约进行查找到相应的配置信息后,向DHCP客户端发送ACK应答报文。目前基本上不用了。

用wireshark捕捉包

计算机网络实验二:ARP欺骗

  1. discover

    计算机网络实验二:ARP欺骗

    发出一个广播请求,255.255.255.255去寻找dhcp服务器

    这个时候机器是没有ip的

    计算机网络实验二:ARP欺骗

  2. offer

    计算机网络实验二:ARP欺骗

    dhcp服务器会根据discover包,根据dhcp和请求机的mac地址,制作一个offer数据包

    里面提供了一个可用的ip地址

    计算机网络实验二:ARP欺骗

    这里包括子网掩码、dns服务器的ip、路由网关等

计算机网络实验二:ARP欺骗

  1. request

    计算机网络实验二:ARP欺骗

    源IP和目的IP依然是0.0.0.0和255.255.255.255

  2. ack
    计算机网络实验二:ARP欺骗

    Your(client) IP address:分配给Client的可用IP
    后面有许多项option信息,前两项是DHCP服务器发送的消息类型(ACK)和服务器的身份标识,后面几项是:
    Subnet Mask:Client端分配到的IP的子网掩码
    Router:路由器
    Domain Name Server:DNS,域名服务器
    Domain Name:域名
    IP Address Lease Time:IP租用期

icmp协议

IP协议是一种面向无连接的数据报协议,它是一种不可靠的协议,它不提供任何差错检验。因此网际报文控制协议(Internet Control Message Protocol)ICMP出现了,ICMP协议用于IP主机、路由器之间传递控制消息,这里的控制消息可以包括很多种:数据报错误信息、网络状况信息、主机状况信息等,虽然这些控制消息虽然并不传输用户数据,但对于用户数据报的有效递交起着重要作用,从TCP/IP的分层结构看ICMP属于网络层,它配合着IP数据报的提交,提高IP数据报递交的可靠性。ICMP是封装在IP数据报中进行发送的,从这点看来,ICMP协议又有点像一个传输层协议,其实不然,因为ICMP报文的目的不是目的主机上的某个应用程序,它不为应用程序提供传输服务,ICMP报文的目的是目的主机上的网络层处理软件。简单的来说,ICMP协议就像奔波于网络中的一名医生,它能及时检测并汇报网络中可能存在的问题,为解决网络错误或拥塞提供了最有效的手段

计算机网络实验二:ARP欺骗

计算机网络实验二:ARP欺骗

查询报文能用于对某些网络问题的诊断,也可用于网络设备信息的交互,查询报文都是成对出现的

计算机网络实验二:ARP欺骗

对于出错的包,这里的检验和会不被认可文章来源地址https://www.toymoban.com/news/detail-447103.html

到了这里,关于计算机网络实验二:ARP欺骗的文章就介绍完了。如果您还想了解更多内容,请在右上角搜索TOY模板网以前的文章或继续浏览下面的相关文章,希望大家以后多多支持TOY模板网!

本文来自互联网用户投稿,该文观点仅代表作者本人,不代表本站立场。本站仅提供信息存储空间服务,不拥有所有权,不承担相关法律责任。如若转载,请注明出处: 如若内容造成侵权/违法违规/事实不符,请点击违法举报进行投诉反馈,一经查实,立即删除!

领支付宝红包 赞助服务器费用

相关文章

  • 计算机网络篇之ARP包结构

    若是ipv4, ARP协议的数据负载就是这个结构 ok, 简单胜于复杂, 就聊这么多

    2024年02月08日
    浏览(42)
  • 【计算机网络】(4)什么是路由+ARP协议

    目录 一、路由         1.1 定义         1.2 思考         1.2.1 路由器的工作工程         1.3 路由表         1.4 路由的类型         1.4.1 静态路由和动态路由         1.4.2 配置静态路由         1.4.3 实验         1.4.4 Linux里的操作        

    2024年02月09日
    浏览(39)
  • 计算机网络 ARP协议 IP地址简述

     ARP只能在一个链路或一段网络上使用    

    2024年02月13日
    浏览(54)
  • 计算机网络:MAC地址 & IP地址 & ARP协议

    如果两台主机通过一条链路通信,它们不需要使用地址就可以通信,因为连接在信道上的主机只有他们两个。换句话说, 使用点对点信道的数据链路层不需要使用地址 。 再来看使用共享信道的总线型局域网: 总线上的某台主机要给另一台主机发送帧,表示帧的信号通过总线

    2024年04月17日
    浏览(51)
  • 【计算机网络】wireshark基本操作及ARP协议分析

    实验一 wireshark基本操作及ARP协议分析 1、熟悉并掌握Wireshark的基本使用; 2、了解网络协议实体间进行交互以及报文交换的情况; 3、分析以太网帧,MAC地址和ARP协议。 与因特网连接的计算机,操作系统为Windows,安装有Wireshark、IE等软件。 下载地址:https://www.wireshark.org/#dow

    2024年02月06日
    浏览(52)
  • 【计算机网络】13、ARP 包:广播自己的 mac 地址和 ip

    机器启动时,会向外广播自己的 mac 地址和 ip 地址,这个即称为 arp 协议。范围是未经过路由器的部分,如下图的蓝色部分,范围内的设备都会在本地记录 mac 和 ip 的绑定信息,若有重复则覆盖更新(例如先收到 mac1-ip1、再收到 mac2-ip1 时则覆盖记录为 mac2-ip): 案例:假设某

    2024年02月12日
    浏览(42)
  • 【计算机网络】第三章 数据链路层(MAC地址 IP地址 ARP协议)

    3.7.1 MAC地址 MAC地址(Media Access Control address)是网络设备(如网卡、无线网卡)在数据链路层上的唯一标识符。以下是有关MAC地址的一些要点: 描述:MAC地址是一个由48个二进制位(通常以十六进制表示)组成的全球唯一标识符,用于识别计算机网络中每个网络接口(NIC)的

    2024年02月13日
    浏览(50)
  • 计算机网络——Wireshark软件使用与协议分析(ARP协议、IP与ICMP分析)

            一、实验目的   学习 Wireshark 的基本操作,抓取和分析有线局域网的数据包;掌握以太网 MAC帧的基本结构,掌握 ARP 协议的特点及工作过程。  二、实验内容 使用 Wireshark 抓取局域网的数据包并进行分析: 1. 学习 Wireshark 基本操作:重点掌握捕获过滤器和显示过滤器

    2024年02月05日
    浏览(46)
  • 探索网络攻击:ARP断网、ARP欺骗和DNS欺骗实验解析

    目录 前言 一、ARP概述 1.1 什么是ARP 1.2 ARP协议的基本功能 1.3 ARP缓存表 1.4 ARP常用命令 二、ARP断网实验 三、ARP欺骗实验 3.1 内网截获图片 3.2 HTTP账户密码获取 四、DNS欺骗实验 总结 🌈嗨!我是Filotimo__🌈。很高兴与大家相识,希望我的博客能对你有所帮助。 💡本文由Filot

    2024年02月06日
    浏览(45)

觉得文章有用就打赏一下文章作者

支付宝扫一扫打赏

博客赞助

微信扫一扫打赏

请作者喝杯咖啡吧~博客赞助

支付宝扫一扫领取红包,优惠每天领

二维码1

领取红包

二维码2

领红包