利用Cain软件进行ARP欺骗攻击

1.监听网络线路进行高效的数据包分析的一个关键决策是在哪里放置数据包嗅探器，以恰当的捕获网络数据。

数据包分析师通常把这个过程称之为监听网络线路。

简而言之，将数据包嗅探器安置在网络上恰当的物理位置的过程。

但是嗅探数据包并不像将一台笔记本电脑连入网络中那么的简单。

安置嗅探器的挑战是考虑种类繁多的用来连接网络的硬件设备。

1.1.混杂模式混杂模式实际上是一种允许网卡能够查看到所有流经网络线路数据包的驱动模式。

网络设备上的网卡驱动会识别出这个数据包对于他们来说没有任何用处，于是将数据包丢弃，而不是传递给CPU进行处理。

将目标不是这台接收主机的数据包进行丢弃可以显著的提高网络处理性能，但是这对于数据包分析师来说不是个好消息。

作为分析师，我们通常哟啊线路上传输每一个数据包，这样我们才不会担心丢失任何关键的信息。

我们可以使用网卡的混杂模式来确保能捕获所以网络流量。

现在网卡一般都支持混杂模式。

1.2.在集线器的网络中进行嗅探在使用集线器连接的网络中进行嗅探，对于任何数据包分析师来说，都是一个梦想。

流经集线器的所有网络数据包都会被发送到每一个集线器的连接的端口。

要分析一台连接到集线器上的电脑的网络通信，所需要做的就是将数据包嗅探器连接到集线器的任意一个空闲端口。

令人遗憾的是，集线器网络已经是非常罕见了，因为集线器网络传输效率很低，已经基本被淘汰了。

1.3.在交换网络中进行嗅探交换机是现在网络环境中最常见的连接设备类型，通过广播、单播与多播方式传输数据提供了高效的方法，设备还可以同时发送和接收数据。

然后这给数据包嗅探带来了一些复杂的因素。

当你将嗅探器连接到交换机上的一个端口时，你将只能看到端口所属VLAN内的广播数据包，以及由你自己电脑传输与接收的数据包。

从一个交换式网络中从一个目标设备捕获网络流量的基本方法如下4钟:端口镜像，集线器接出，使用网络分流器，ARP欺骗攻击。

1.3.1.端口镜像端口镜像是在交换式网络中捕获一个目标设备所以网络通信最简单的方法。

河南科技学院2013-2014学年第一学期《信息安全》测试分析报告基于ARP欺骗的交换式网络嗅探姓名：学号：班级：使用Cain工具嗅探一、实验目的通过使用Cain pro软件掌握Cain(嗅探器)工具的使用方法，实现捕捉 flp 、http 等协议的数据包，以理解TCP/IP协议中多种协议的数据结构、会话连接建立和终止的过程、TCP序列号、应答序号的变化规律，防止FTP、HTTP等协议由于传输明文密码造成的泄密。

二、实验原理通常每个网络接口都有一个互不相同的硬件地址（MAC地址），同时，每个网段有一个只有在此网段中广播数据包的广播地址（代表所有的接口地址）。

一般情况下，一个网络接口只响应目的地址是自己硬件地址或者自己所在网段的广播地址的数据帧，并由操作系统进一步处理，同时丢弃不是发给自己的数据帧。

通过Cain工具，可以将网络接口设置为“混杂”（promiscuous）模式，在这种模式下，网络接口就处于一个对网络的“监听”状态，它可以监听此网络中传输的所有数据帧，不管此数据帧的目的地址是广播地址还是自己或者其他忘我接口的地址。

它将对遭遇到的每一个数据帧产生硬件中断，交由操作系统对这个帧进行处理，比如截获这个数据帧，进而实现实时分析数据帧中包含的内容。

三、实验环境一台安装了Windows 2000/XP的PC机，连接到一个局域网上，局域网中至少有两台机子。

四、实验内容和步骤(1)运行Cain软件点击“配置”按钮进行配置：（2）点击嗅探器选项卡：（3）点击工具栏第二个图标进行嗅探：在空白处右击选择“扫描MAC地址”，目标主机选择所有在子网的主机：扫描结果如下：（4）选择嗅探/ARP选项卡，在上方空白处右键单击，点击“+”打开选项卡，左边选择一个，右边全部选择。

选择下方的口令选项卡,然后单击HTTP来查看截获数据：。

ARP欺骗攻击原理及防御策略ARP（Address Resolution Protocol）欺骗攻击是一种利用ARP协议漏洞来冒充网络中台设备的MAC地址的攻击方式。

攻击者通过发送伪造的ARP响应包，将目标设备的IP地址与攻击者的MAC地址进行绑定，从而达到攻击的目的。

攻击原理：ARP协议是用于将IP地址解析为MAC地址的协议，其工作原理为：当主机A需要与主机B通信时，会先检查自己的ARP缓存表，查看是否有主机B的IP地址对应的MAC地址，若有，则直接发送数据包给主机B；若没有，则通过广播ARP请求包的方式询问网络中其他主机，寻找主机B 的MAC地址。

主机B收到ARP请求包后，会返回一个包含其IP地址和MAC地址的ARP响应包，主机A会将主机B的IP地址与MAC地址绑定，然后发送数据包给主机B。

ARP欺骗攻击利用了这个过程中的不安全性，攻击者可以发送伪造的ARP响应包来伪装自己的MAC地址，将目标设备的IP地址与自己的MAC 地址进行绑定，从而实现攻击。

攻击者可以在中间人位置上监视、修改或阻断通信流量，从而进行各种攻击，如中间人攻击、数据篡改、数据丢失等。

防御策略：为了防止ARP欺骗攻击，可以采取以下一些策略：1.静态ARP绑定：将网络中的设备的IP地址与MAC地址进行手动绑定，使得ARP欺骗攻击者无法通过发送伪造的ARP响应包来进行攻击。

这种方法适用于小型局域网，但对于大型网络来说管理起来不太方便。

2. ARP检测工具：使用ARP检测工具可以实时监测网络中的ARP请求和响应包，检测是否存在伪造的ARP包，及时发现潜在的ARP欺骗攻击。

常用的ARP检测工具包括Arpwatch、Cain & Abel等。

3.使用静态路由表：在网络设备上手动配置静态路由表，指定目标设备的MAC地址，避免使用ARP协议来解析MAC地址。

静态路由表可以防止ARP欺骗攻击者修改路由信息，而无需依赖ARP协议来解析MAC地址。

cain用法
Cain & Abel是一款针对Microsoft操作系统的网络监视和渗透测试工具，可以用来实施中间人攻击，对计算机进行远程控制。

以下是其具体的用法：
1. 读取缓存密码：切换到“受保护的缓存口令”标签，单击上面的加号，缓存在IE里的密码可以全都显示出来。

2. 查看网络状况：切换到“网络”标签，可以清晰地看到当前网络的结构，还可以看到内网其他的机器的共享目录、用户和服务。

3. ARP欺骗与嗅探：ARP欺骗的原理是操纵两台主机的ARP缓存表，以改变它们之间的正常通信方向。

这种通信注入的结果就是ARP欺骗攻击。

ARP欺骗和嗅探是Cain用的最多的功能了，切换到“嗅探”标签，在这里可以清晰的看到内网中各个机器的IP和MAC地址。

嗅探攻击实施方案嗅探攻击是一种常见的网络攻击手段，通过监控网络通信流量，截取敏感信息来实施攻击。

嗅探攻击可能会对个人隐私、企业机密等造成严重危害，因此需要采取相应的防范措施。

本文将介绍嗅探攻击的实施方案，并提出相应的防御建议。

一、嗅探攻击的实施方案。

1. ARP欺骗。

ARP欺骗是一种常见的嗅探攻击手段，攻击者通过发送虚假的ARP响应，将网络数据流量重定向到自己的设备上，从而获取敏感信息。

攻击者可以利用工具如Ettercap、Cain & Abel等来实施ARP欺骗攻击。

2. 数据包嗅探。

攻击者可以利用网络嗅探工具如Wireshark、Tcpdump等来监控网络通信流量，截取传输的数据包，从中获取敏感信息，如用户名、密码等。

这种攻击方式对于未加密的通信特别有效。

3. 中间人攻击。

中间人攻击是一种广泛运用的嗅探攻击手段，攻击者通过伪装成通信双方之一，窃取双方的通信内容。

攻击者可以利用工具如SSLstrip、Bettercap等来实施中间人攻击。

二、防御建议。

1. 加密通信。

对于敏感信息的传输，应采用加密通信协议，如HTTPS、SSH等，以防止攻击者通过嗅探攻击获取数据。

2. 使用虚拟专用网络（VPN）。

企业内部网络可以部署虚拟专用网络，通过加密通道传输数据，避免敏感信息在公共网络中被窃取。

3. 网络流量监控。

定期对网络流量进行监控和分析，及时发现异常流量和嗅探攻击行为，并采取相应的防御措施。

4. 强化网络安全意识。

加强员工的网络安全意识培训，提高对嗅探攻击等网络安全威胁的认识，避免因为员工的疏忽而导致敏感信息泄露。

5. 更新安全补丁。

及时更新网络设备和应用程序的安全补丁，以修复已知的安全漏洞，减少嗅探攻击的风险。

6. 使用网络入侵检测系统（IDS）。

部署网络入侵检测系统，及时发现和阻止嗅探攻击行为，保护网络安全。

结论。

嗅探攻击是一种常见的网络安全威胁，对个人和企业都可能造成严重危害。

为了有效防范嗅探攻击，我们需要采取一系列的防御措施，包括加密通信、使用VPN、网络流量监控、加强安全意识等。

经过前面的准备，终于到了要进行DNS欺骗了，如果没有这一步，前面的所作的都是白搭，拿出工具“cain2.8工具”，运行“cain”如图6
图6
点击“嗅探”，再点击上面的那个网卡图标“开始嗅探”，再点击那个黑色的十字，在弹出的对话框中目标网络里，选择“子网中的所有计算机”也你可以选自定义范围，大家可以根据自身的情况来选。

确定。

软件会自动扫描出网里的所有电脑。

如图7。

好了，再点击下面的那个“ARP”，再点击上面的那个黑色十字，在弹出的“新建ARP 欺骗”的对话框，左边选你要欺骗的IP地址：192.168.0.100，右边选被欺骗IP的目标网关192.168.0.1，最后确定。

如图8
字串3 图8
再点击“DNS欺骗”，然后依然点击那个黑色的十字，如图9，弹出一个DNS欺骗的对话框。

图9
在请求DNS域名栏中填入192.168.0.100正常要访问的网站，如，然后在“用来改写响应包的IP地址”栏中填入IP：192.168.0.92，意思是说，当主机192.168.0.100访问时要跳到我们所给出的IP地址192.168.0.92，再确定。

最后点击“开始/停止ARP欺骗”，DNS欺骗工作正式开始了。

CAIN使用教程声明：任何不经别人同意而进入别人网络都是非法和不道德的行为。

本教程用于学习和交流，如由此产生一切违法行为与本教程无关。

题记：本人是中国无线论坛/的ID“中卫”。

本教程是根据网上现有的资料还有我的理解加上实际操作实践编辑整理而成。

由于本人也是初学者，缺乏专业的理论知识，因此文中不免存在理解的偏差甚至错误，希望各位朋友指正。

如果对教程有任何意见和建议，欢迎各位 论坛提问和交流。

谢谢！！CAIN使用教程CAIN是一个WINDOWS平台上的破解各种密码，嗅探各种数据信息，实现各种中间人攻击的软件。

首先下载cain软件找不到下载地址的可到我们共享区/wificrack下载，共享区有4.9英文版和汉化补丁。

CAIN下有两个程序，一个是CAIN主程序，一个是Abel服务程序。

Abel服务程序需要手动进行安装。

正确安装CAIN后从CAIN目录下拷贝Abel.exe和Abel.dll到C:\Windows\System32目录下，运行Abel.exe安装，并在服务里设置为自动启动。

运行CAIN，主界面如图所示我们先来看看CAIN的几个大类的使用，大类页面如下图一．解密器：解密器的作用主要是读取缓存中保存的各种密码。

你可以点击左边的各选项然后点击上面的在右边的窗口你可以看到你曾经正确使用过的无线的密码都保存在这里，如下图所示。

大家可以清楚的看到SSID和后面的密码。

二．网络这个网络主要用来鉴别各域控制器，SQLserver，打印服务，远程拨入，终端服务等。

网络的左侧用来浏览网络结构和连接远程主机。

连接到主机就可列出用户名，工作者，服务，共享资源等。

如下图，我们清楚的看到SMM-DB1开启了IPC$默认共享连接和文件夹共享。

同时也可以搜索到计算机的用户组和组的用户名，虽然NT版本以后不能建立空连接了，但是还是可以通过提取SID来获得Admin的账号，因为管理员的SID总是500。

如下图所示三．嗅探器（包含局域网的嗅探和ARP欺骗）嗅探器是CAIN的重点，很多人用CAIN主要就是用这个嗅探器和ARP欺骗。

利用Cain软件进行ARP欺骗攻击
利用Cain软件进行ARP欺骗攻击
1.程序配置
(1). 运行Cain软件界面如下：
(2). 首先点菜单栏的配置按钮这是出现配置菜单如下:
在这选择本机所使用的局域网卡，其他的选项可以不用选择。

(3). 在ARP(Arp Poison Routing)选项上选择“使用伪造IP和MAC地址”填
上本机所在局域网中一个子网IP如下:
在过滤于端口上可以根据需要勾选协议。

2.MAC地址扫描
选择工具栏上的嗅探器
此外在进行MAC地址扫描之前打开“开始嗅探”按钮然后在空白处右击鼠标，选择“扫描MAC地址”弹出
填出要扫描的网段
扫描结果如下:
3.ARP欺骗
单击下面APR出现
在右侧边栏单击一下等变成蓝色的后，按这个按钮出现
点击确定即可得到：
添加NDS如下：这时设置成功后在对方访问Google时就可以直接掉转百度主页了。

Cain-ARP欺骗
Cain & Abel 是由Oxid.it开发的一个针对Microsoft操作系统的免费口令恢复工具。

号称穷人使用的L0phtcrack。

它的功能十分强大，可以网络嗅探，网络欺骗，破解加密口令、解码被打乱的口令、显示口令框、显示缓存口令和分析路由协议，甚至还可以监听内网中他人使用VOIP拨打电话。

MAC地址扫描范围如下
扫描结果如下图所示
本次实验在寝室里完成,所有扫描获得IP地址,由自己通过Dual Server分配(DHCP服务器)
测试本机IP地址
为了让实验有效进行,已经关闭杀毒软件和防火墙
网卡配置如下
实验中遇到两个问题
第一MAC地址不能修改,这样在同一个局域网是否会产生冲突. 第二伪造的IP地址好像没作用
演示两太主机DNS,HTTPARP欺骗.
虽然两个文本的MD5可能会相等，但是不一定另外的文本内容恰好就与针对性伪造的内容一模一样，所以MD5能被破解，与文件内容真实性问题不会有太大的牵连，但是密码就不一定了如果密码A与密码B的MD5相等，那么如果有一个人的密码是A，那么黑客用密码B登陆他的帐户，直接构成盗号。

本机帐户密码(高级用户)。