实习指导一snifferpro模拟ARP攻击

通过专用sniffer程式监视异常ARP除了NAI Sniffer pro 以外，网络上还提供有非常多专用的ARP监视工具，这些工具也是sniffer的一种，只是在功能上更有针对性，大多数界面也非常简单、友好。

这里我们简单介绍由国内欣全向公司研发，颇为流行的免费ARP检测工具：“欣向巡路之ARP工具1.1Beta” ,大家能从/downcenter.asp直接下载。

和非常多数据包捕捉工具相同，在程式安装运行前，需要提前安装WinPcap驱动。

使用方法：步骤一：使用方法非常简单。

首先选择网卡，程式会根据网卡扫描出相应网段IP-MAC清单。

但需要注意，IP-MAC清单的扫描务必在网络内正常的情况下。

步骤二：添加ARP检测范围，一般将网关或路由的IP填入即可。

步骤三：启动ARP检测。

这个时候，如果网络内出现ARP欺骗，程式则会报警，并用红色字体在“ARP步骤四：如果发现ARP欺骗纪录后，应该怎么处理，防止断线呢？这个时候能使用软件中“主动维护”功能来修复网络。

这个功能的含义是：定义好网关正确IP-MAC，在网内以一定频率广播，来修复网络。

注意：使用了本功能后，网内被欺骗的机器，受正确ARP广播的影响，ARP缓存表暂时恢复正常，请尽快处理出现故障机器。

总结：在网络出现故障时，有经验的网络管理员通常都能够迅速发现故障并加以排除，这是基于网络管理员自身技能素养、对环境的了解、和经验。

不过在网络日益发展的今天，网络应用、规模、手段都在急速膨胀，仅仅依靠对环境的了解和经验显然是不够的。

因此，使用sniffer pro程式来处理ARP，本文不矢为一种快速有效的手段。

由于本文不涉及sniffer的高级应用，如抓取数据包分析ARP问题等，所以比较适合初级用户阅读参考，我们会在以后的文章中进一步深入探讨sniffer的相关技术问题。

敬请期待。

网络分析工具Sniffer Pro一、训练目标1、了解常用网络分析工具2、会使用网络分析工具Sniffer Pro二、实训环境要求利用VMware软件虚拟出一台计算机（称为“虚拟机”或“虚拟系统”），与物理机组成一个最小的网络实验环境，作为网络攻击的目标计算机，物理机作为实施网络攻击的主机。

建议安装方式：在XP系统中，安装虚拟的windows2003/2000 Server系统三、实训内容任务1：网络分析工具Sniffer Pro的使用Sniffer Pro是一种很好的网络分析程序，允许管理员逐个数据包查看通过网络的实际数据，从而了解网络的实际运行情况。

它具有以下特点：1. 可以解码至少450种协议。

除了IP、IPX和其它一些“标准”协议外，Sniffer Pro还可以解码分析很多由厂商自己开发或者使用的专门协议，比如思科VLAN中继协议(ISL)。

2. 支持主要的局域网(LAN)、城域网(WAN)等网络技术(包括高速与超高速以太网、令牌环、802.11b无线网、SONET传递的数据包、T-1、帧延迟和ATM)。

3. 提供在位和字节水平上过滤数据包的能力。

4. 提供对网络问题的高级分析和诊断，并推荐应该采取的正确措施。

5. Switch Expert可以提供从各种网络交换机查询统计结果的功能。

6. 网络流量生成器能够以千兆的速度运行。

7. 可以离线捕获数据，如捕获帧。

因为帧通常都是用8位的分界数组来校准，所以SnifferPro只能以字节为单位捕获数据。

但过滤器在位或者字节水平都可以定义。

需要注意的是，使用Sniffer捕获数据时，由于网络中传输的数据量特别大，如果安装Sniffer的计算机内存太小，会导致系统交换到磁盘，从而使性能下降。

如果系统没有足够的物理内存来执行捕获功能，就很容易造成Sniffer系统死机或者崩溃。

因此，网络中捕获的流量越多，Sniffer系统就应该运行得更快、功能更强。

在51CTO安全频道策划的“网络嗅探教程”的上一篇文章《使用Sniffer Pro监视网络流量》中，banker向大家介绍了怎么使用sniffer pro监视网络中网关流量。

在这一节，banker将向51CTO网友介绍怎么使用sniffer pro来监视ARP欺骗行为。

文中会介绍一些更为简便和直接的snffer程式，他们都属于snffer程式的一种，只是在功能上更有针对性。

本文不再过多叙述ARP欺骗原理等相关知识，有兴趣的网友能参阅《ARP攻击防御和解决方案专题》一、使用sniffer pro监视ARP实际上，使用sniffer pro程式的监视功能能更方便、更为迅速的帮助我们定位问题。

步骤一：首先，我们在已做了端口映像的机器上启动snffer pro程式。

选择菜单栏中Monitor→Define Filter 来定义我们需要的过滤器。

在弹出的define Filter对话框中选择Profiles→New 来新建一个过滤器，我们这里取名为ARP。

步骤二：点击Advanced高级标签，我们这里选中ARP协议。

单击OK后完成过滤器的新建。

步骤三：系统默认过滤器为Default，我们来选择刚才新建过滤器ARP。

首先，选择Mon itor→Select Filter。

步骤四：在弹出的对话框中点击ARP。

在这里要注意的是：一定要把Apply monitor勾选。

点击确定后，过滤器定义和选择工作准备完毕。

步骤五：鼠标点击工具栏中Host Table按钮（连网图标），在弹出的子窗口中选择Detail工具（放大镜图标）。

注意观察本图同之前程式使用默认Default Filter过滤器的不同之处。

目前，按照我们的定义，监视器内Protocol(协议类型)仅包括IP_ARP.这对于我们查找问题，层次上更加分明。

这里需要注意的是：①这里的Address（地址）以IP或机器名的形式显示，如果显示MAC，请先使用Tools→Address book进行扫描，IP-MAC的显示转换后，将有利于我们快速定位节点。

用sniffer 实现ARP攻击ARP协议：ARP协议是“Address Resolution Protocol”（地址解析协议）的缩写。

在局域网中，网络中实际传输的是“帧”，帧里面是有目标主机的MAC地址的。

在以太网中，一个主机和另一个主机进行直接通信，必须要知道目标主机的MAC地址。

但这个目标MAC地址是如何获得的呢？它就是通过地址解析协议获得的。

所谓“地址解析”就是主机在发送帧前将目标IP 地址转换成目标MAC地址的过程。

ARP协议的基本功能就是通过目标设备的IP地址，查询目标设备的MAC地址，以保证通信的顺利进行。

原理：正因为基于ARP协议的这一工作特性，黑客向对方计算机不断发送有欺诈性质的ARP 数据包，数据包内包含有与当前设备重复的Mac地址，使对方在回应报文时，由于简单的地址重复错误而导致不能进行正常的网络通信。

一般情况下，受到ARP攻击的计算机会出现两种现象：现象：1.不断弹出“本机的XXX段硬件地址与网络中的XXX段地址冲突”的对话框。

2.计算机不能正常上网，出现网络中断的症状，根据对方发起攻击的频率。

实例：一：试验环境1.我的试验环境清单:aizzw为用Sniffer pro来攻击的电脑zzw123为被攻击的电脑，这里用360自带的ARP防火墙侦测我这里先列出IP地址、MAC地址对应的十六进制详细清单。

二：手动制作ARP攻击包（我这里通过修改已有的包来实现攻击）（一）：为了在捕获的大量数据帧中便于识别，先搜集主机列表信息1.点击搜索，这里为了快速搜索到，输入该IP段2.正在搜索3.搜集到的主机列表4.编辑便于自己识别的名称（二）：定义过滤器，捕获数据包1.打开Sniffer,然后点击菜单栏中捕获菜单下的定义过滤器.2.点击配置文件。

3.点击新建4.用默认模板，给这个过滤器取个便于识别的名字。

我这里为“ARP过滤”，点击好5.这时候就多了一个刚才添加的过滤文件，点击完成。

7.选中“Arp过滤”，在高级页勾选ARP协议8.这时候在捕获条件下拉菜单中就多出了我刚才添加的那个过滤器，选中ARP过滤，点击开始捕获。

用sniffer实现局域网APR攻击一、实验原理：假设有计算机A（攻击者）和B（被攻击者），在局域网中想要上网，数据必须先通过网关才能发送出去，在正常情况下，计算机B在自己的ARP缓存表中记录了正确的网关IP和MAC之间的映射关系，此时计算机B能够正常上网。

但如果这个时候A发动攻击，将一个捏造的虚假ARP 数据包发送给B后，B的ARP缓存表中关于网关与MAC之间的映射关系则会被修改，MAC地址会被修改成计算机A所捏造的MAC地址，从而导致计算机B无法和网关正常通信，造成不能正常上网的现象。

二、实验目的：对局域网内的某一台计算机进行ARP攻击，使其造成暂时性断网的情况。

三、实验前的准备：攻击者：IP：192.168.0.101 转化成十六进制c0.a8.00.65MAC地址：00-25-22-89-75-59被攻击者：IP:192.168.0.104 转化成十六进制c0.a8.00.68MAC地址：00-26-82-e2-9a-53默认网关：IP:192.168.0.1 转化成十六进制c0.a8.00.01MAC地址：00-26-5a-2a-9e-141.首先选择合适的网络接口，然后登陆进去；2.点击sniffer菜单栏上的捕获，选择定义过滤器，接着点击配置文件，新建一个用于ARP攻击的配置文件，改名为ARP，点击两次确认后，原来的定义过滤器右侧列表出现了新的ARP 配置文件，如图3.点击此界面的地址选项卡，在位置1填上攻击者的MAC地址，位置2选择任意的，接着点击高级选项卡，找到ARP复选框，选上后按确认，此时前期工作已准备完成，如图：四、攻击的实施：1.首先点击sniffer菜单栏上的捕获选项卡，点击开始，然后打开命令行界面，为了方便我们捕获到网关发挥给我们的ARP查询包，用arp –d清除一下本地的ARP缓存，再去ping网关（192.168.0.1），然后停止捕获，如图：2.点击左下方的“解码”，可以查看到广播请求网关的MAC地址，以及从网关发挥的请求响应，这就是接下来要发送攻击的响应包，右键点击该行，选择发送当前的帧，如图：3.当选择发送当前的帧后，弹出一个新的窗体，如图：4.然后对数据包的数据进行修改，然后点确定，如图：结果：若被攻击者开启了ARP防火墙，就会有记录显示：如图：若被攻击者没有开启ARP防火墙，则被攻击者的ARP缓存表会被修改，若持续不断的发送攻击包，则会导致被攻击者无法正常上网，如图：。

实训一、网络诊断工具Sniffer的使用一、Sniffer工具介绍概述Sniffer软件是NAI公司推出的功能强大的协议分析软件。

本文针对用Sniffer Pro网络分析器进行故障解决。

利用Sniffer Pro 网络分析器的强大功能和特征，解决网络问题，将介绍一套合理的故障解决方法。

与Netxray比较，Sniffer支持的协议更丰富，例如PPPOE协议等在Netxray并不支持，在Sniffer上能够进行快速解码分析。

Netxray不能在Windows 2000和Windows XP上正常运行，Sniffer Pro 4.6可以运行在各种Windows平台上。

Sniffer软件比较大，运行时需要的计算机内存比较大，否则运行比较慢，这也是它与Netxray相比的一个缺点。

功能简介下面列出了Sniffer软件的一些功能介绍，其功能的详细介绍可以参考Sniffer的在线帮助。

捕获网络流量进行详细分析利用专家分析系统诊断问题实时监控网络活动收集网络利用率和错误等在进行流量捕获之前首先选择网络适配器，确定从计算机的哪个网络适配器上接收数据。

位置：File->select settings选择网络适配器后才能正常工作。

该软件安装在Windows 98操作系统上，Sniffer可以选择拨号适配器对窄带拨号进行操作。

如果安装了EnterNet500等PPPOE软件还可以选择虚拟出的PPPOE网卡。

对于安装在Windows 2000/XP上则无上述功能，这和操作系统有关。

本文将对报文的捕获几网络性能监视等功能进行详细的介绍。

下图为在软件中快捷键的位置。

捕获面板报文捕获功能可以在报文捕获面板中进行完成，如下是捕获面板的功能图：图中显示的是处于开始状态的面板捕获过程报文统计在捕获过程中可以通过查看下面面板查看捕获报文的数量和缓冲区的利用率。

捕获报文查看Sniffer软件提供了强大的分析能力和解码功能。

如下图所示，对于捕获的报文提供了一个Expert专家分析系统进行分析，还有解码选项及图形和表格的统计信息。

ARP攻击实验⼀、实验⽬的1.掌握sniffer和Wireshark⼯具的使⽤。

2.了解WinArpAttacker软件攻击的⽅法和步骤。

3.学会使⽤ARP欺骗的攻击⽅法和掌握ARP欺骗的防范⽅法。

⼆、实验设备及环境两台装有Windows2000/XP电脑操作系统的计算机，并且这两台要在同⼀个局域⽹内，⼀台安装Wireshark、WinArpAttacker⼯具，另⼀台安装ARP 防⽕墙⼯具antiarp软件。

三、实验内容及步骤（截图并对图⽰进⾏必要的⽂字说明）1.ARP泛洪攻击。

⾸先先测试攻击⽅和被攻击⽅的连通性。

安装Wireshark软件并运⾏在软件对话框内选择capture——》options，在弹出的对话框内输⼊被攻击⽅的ip地址。

点击Start按钮，开始嗅探被攻击⽅的数据包。

安装WinArpAttacker软件，并运⾏，选择options——》adapter。

在弹出的对话框内选择attack选项，把攻击的时间延长（时间可随意设置）。

进⾏scan，设置被攻击⽅的ip。

选择设置好的⽬的IP后选择attack，进⾏flood攻击。

这时发现被攻击⽅出现ip地址冲突，即攻击成功。

打开Wireshark查看嗅探到的信息2.使⽤send实施ARP欺骗攻击使⽤ipconfig/all命令查看攻击⽅MAC地址，并⽤ARP –a 查看本地局域⽹内所有⽤户ip和mac地址绑定关系同样使⽤使⽤ipconfig/all 命令查看被攻击⽅MAC 地址，并⽤ARP –a 查看本地局域⽹内所有⽤户ip 和mac 地址绑定关系运⾏WinArpAttacker 软件，选中send 选项，设置相应的参数。

然后点击send 开始攻击。

再次使⽤命令arp –a 查看信息，发现ip和mac地址绑定关系发⽣改变，并发现ping不同。

3. 防范ARP欺骗为防⽌arp欺骗，使⽤静态绑定ip和mac地址。

先使⽤命令arp -d清除缓存表。

实验目的：模拟ARP攻击与抓捕
实验工具：GNS3模拟器、XP虚拟机、网络执法官软件、Sniffer抓包工具
实验环境：如图（全网互通环境）
实验步骤：
攻击
1 在PC2上安装网络执法官（长角牛监控机）软件，打开软件设置扫描范围（监控的IP地址范围可以是能访问到的局域网所有网段）
2 右击需要攻击的主机PC1，选择“手工管理”
3 勾选以下选项
4 单击设置，然后填入要网关地址，阻止其与网关通信
5 单击开始按钮，是设置生效
6 测试，用PC1ping网关
防护方法一
1 在PC3上安装ARP防火墙，并打开软件
2 测试，用PC2攻击PC3,，查看ARP防火墙新参数
防护方法二
1 在主机上绑定网关的IP和MAC
2 在网关路由器上绑定主机的IP和MAC
捕获
1 再PC3上安装Sniffer抓包工具，启动软件，并单击下图位置
2 单击下开始按钮
3 单击解码，查看捕获的包内容
4 分析包字段
5 分析数据链路层帧头结构。

ARP地址欺骗1、实验目的1、掌握常见ARP欺骗类型和手段2、掌握ARP协议工作原理和格式3、掌握防范ARP地址欺骗的方法和措施4、掌握Sniffer Pro软件的使用2、实验环境硬件：交换机1 台、路由器1台、计算机数台软件：Sinfffer pro3、实验原理1)、ARP协议简介ARP(Address Resolve Protocol)地址请求解析协议，用于寻找和IP 地址相对应的MAC地址。

在RFC 826中定义了ARP协议的数据格式和类型。

ARP协议属于在网络层的下部，可看作为网络层和数据链路层的接口，主要用于IPv4以太网。

ARP消息类型有2 种：ARP request ：ARP 请求ARP response ：ARP应答ARP协议格式数据封装过程用于以太网的ARP请求或应答分组格式以太网帧的格式ARP 报文中各字段的意义●硬件类型：以太网接口类型为1●协议类型：IP协议类型为080016●操作：ARP请求为1，ARP应答为2●硬件地址长度：MAC地址长度为6B●协议地址长度：IP地址长度为4B●源MAC地址：发送方的MAC地址●源IP地址：发送方的IP地址●目的MAC 地址：ARP 请求中该字段没有意义；ARP 响应中为接收方的MAC地址●目的IP 地址：ARP 请求中为请求解析的IP 地址；ARP 响应中为接收方的IP地址ARP 协议的改进高速缓存技术●高速缓存区中保存最近获得的ARP表项●高速缓冲区中ARP表项新鲜性的保持：计时器●实验表明高速缓冲区的使用可以大大提高ARP 的效率其他改进技术●目的主机接收到ARP请求后将源主机的IP地址与物理地址映射关系存入自己的高速缓冲区●ARP请求是广播发送的，网络中的所有主机接收到ARP请求后都可以将源主机的IP 地址与物理地址映射关系存入自己的高速缓冲区●主机启动时主动广播自己的IP地址与物理地址的映射关系4、实验步骤1）掌握常用的ARP常用命令ARP命令：功能：用于查看、添加和删除高速缓存区中的ARP表项高速缓冲区中的ARP表项●动态表项：随时间推移自动添加和删除●静态表项：一直保留，直到人为删除或重新启动计算机Windows 中ARP表项的潜在生命周期：10分钟●新表项加入时定时器开始计时●表项添加后两分钟内没有被再次使用：删除●表项被再次使用：增加2 分钟的生命周期●表项始终在使用：最长生命周期为10 分钟Arp –a // 查看计算机的ARP缓存Arp –s 172.29.16.134 01-12-23-34-45-56//将IP 地址172.29.16.134 和MAC 地址01-12-23-34-45-56静态绑定Arp –d 172.29.16.134//删除IP地址172.29.16.134 的静态绑定Arp缓存中的IP地址和MAC地址的映射表是有生存期的，每过一段时间就会过期，这时则要重新获取MAC地址。

一、实验环境一个路由器（网关），两台以上安装了win2003操作系统的主机（虚拟机），其中一台安装sniffer pro软件发动ARP攻击。

（1）192.168.1.1 路由器（网关），IP地址对应16进制数为：c0 a8 01 01,其mac地址为：00-23-cd-19-e4-2a（2）192.168.1.50 用sniffer pro发动arp攻击的主机,IP地址对应16进制数为：c0 a8 01 32,其mac地址为00-0c-29-f6-1e-68（3）192.168.1.10 局域网上某台主机，被攻击者，其IP地址对应16进制数为：c0 a8 01 0a,其mac地址为00-E0-4C-1B-DB-1A二、手动制作ARP攻击包1、收集局域网主机信息点地址簿（address table）弹出如下窗口点搜索按钮，在弹出的窗口中输入要搜索的IP地址段2、定义过滤器，捕获数据包点工具栏中的capture->define filter点profiles(配置文件)点“新建”（NEW），输入新配置文件名，这里输入ARP点OK, 之后选择刚添加的“ARP”，再选择“ADV ANCED”页，勾选ARP协议点确定后返回主页面，会发现工具栏的下拉菜单中多了一个ARP过滤器选项选中ARP，之后点开始按钮就可以弹出专家窗口下面我们在50号主机（运行了sniffer pro的主机）上ping下被攻击主机（10号主机）这样会建立arp缓存表然后点击工具栏中的“停止并显示”按钮，同时在专家窗口中选择“decode”页这里显示出了嗅探到的数据包选择一个arp响应包，注意是响应包，可以看到源地址和目的地址选择该帧，右键发送当前帧在这一帧可以找到源IP和目标IP，注意这里都是以十六进制来显示，包括后面的修改也是以十六进制来修改。

源MAC：00-0c-29-f6-1e-68，源IP：c0 a8 01 32目的MAC：00-E0-4C-1B-DB-1A 目的IP：c0 a8 01 0a更改细则：数据链路层的更改：源MAC 改为10号机器的MAC目标MAC 改为50号机器的MAC网络层的更改：发送MAC 改为50号机器的MAC发送的IP 改为网关的IP（这里的网关为真是的网关IP地址，这里至关重要）目标MAC 改为10号机器的MAC目标IP 改为10号机器的IP这里将地址1值和地址3值互换，地址2值和地址4值互换（红色和蓝色框起来的地址互换）结果为再把这帧的源IP值：c0 a8 01 0a改成网关IP值：c0 a8 01 01目标IP值：c0 a8 01 32改成10号机IP值：c0 a8 01 0a最终结果如下：最后更改发送次数和延时在被攻击的10号机器上开启arp防火墙就可以拦截到这个攻击可以追踪攻击源延伸阅读：ARP协议报文格式报文格式举例。

对比“Ｓｎｉｆｆｅｒ　Ｐｒｏ、ＥｔｈｅｒＰｅｅｋ、科来网络分析系统”之ＡＲＰ攻击分析　我们知道，Ｓｎｉｆｆｅｒ　Ｐｒｏ、ＥｔｈｅｒＰｅｅｋ、科来网络分析系统是当前最流行的三大网络分析软件，它们都通过捕获网络中传输的数据包，对网络进行分析并快速定位网络故障，从而帮助网络管理人员解决问题。

　Ｓｎｉｆｆｅｒ　Ｐｒｏ和ＥｔｈｅｒＰｅｅｋ相对科来网络分析系统而言，起步较早，支持的协议也更多，但它们都是国外的产品，在产品界面及技术支持方面都没有本地化服务，国内网络爱好者使用起来，有一定的难度。

科来网络分析系统是国内企业自主研发的产品，界面及技术支持均是本地化服务，同时，产品的功能设计更针对国内用户的具体情况，更适用于国内网络。

　ＡＲＰ攻击是当前最常见的攻击之一，该攻击不要求攻击者具备高深的技术水平，且病毒也可能引起ＡＲＰ攻击，所以在大中小型网络中，这种攻击都非常普遍。

同时，我们知道，ＡＲＰ攻击对网络的影响非常大，轻微时可以对数据通讯进行窃听，严重时将导致整个网络瘫痪。

所以，快速定位排查ＡＲＰ攻击，对保障网络的安全，具有非常重要的作用。

　正巧，前两天有个客户说他的抓包时发现网络中有大量ＡＲＰ数据包，猜测可能存在ＡＲＰ攻击，并抓了一个数据包发给我。

借此机会，我们就同时使用Ｓｎｉｆｆｅｒ　Ｐｒｏ、ＥｔｈｅｒＰｅｅｋ、科来网络分析系统来查找该网络中的ＡＲＰ攻击，并对比这三大网络分析软件的ＡＲＰ分析功能。

　在三个软件中分别打开该数据包，发现其数据包如图１，２，３所示。

　三个软件的数据包列表中，都列出了３９９１个数据包，且从图中可知，这些数据包都是ＡＲＰ数据包。

　从图１即Ｓｎｉｆｆｅｒ　Ｐｒｏ的数据包窗口中，可以看到全是ＡＲＰ请求数据包，且这些数据包全是由００：０Ｆ：ＦＥ：０１：２２：７Ｃ主机发起。

　从图２即ＥｔｈｅｒＰｅｅｋ的数据包窗口中，看到数据包也全是ＡＲＰ请求数据包，也可以看到数据包全是由００：０Ｆ：ＦＥ：０１：２２：７Ｃ发起。