计算机网络实验二:ARP欺骗

news2024/12/28 20:14:55

计算机网络实验二:ARP欺骗

博客链接:https://www.blog.23day.site/articles/66

一、wireshark

要求:配置并使用wireshark,在无线环境下监听非本机的数据码流,记录并解释如下集中情况下听到的数据包的意义,并对比分析

简介

Wireshark是一种抓包工具,这种工具比fiddler更强大,消息量更多。大家可能会问:有了fiddler,为什么还要用wireshark呢?这里说下,在测试中,发现用fiddler抓包,有些包是没有抓到的,比如在验证反作弊信息的时候,反作弊pingback信息的消息用fiddler就没抓到,用wireshark就抓到了。还有另外一种情况,就是在验证cna的时候,如果先用fiddler抓包,如果没有种下cna的时候,以后就永远没有cna了,情况很诡异。解决办法就是把包卸载了重新安装,第一次用wireshark抓包。

Wireshark优势:

1、强大的协议解析能力,一到七层全解码,一览无遗,对于协议细节的研究特别有帮助。

2、对于https加密流量,只要将浏览器的session key 自动导入wireshark,Wireshark可以自动解密https流量。

Wireshark不足之处:

尽管可以自定义过滤列表,但为了抓取一个特定TCP Flow /Session 流量需要写一个长长的过滤列表,这对于初学者很不友好。

原理

wireshark是捕获机器上的某一块网卡的网络包,当你的机器上有多块网卡的时候,你需要选择一个网卡。因为网络上传输的数据包通过网卡进入到网络协议分析器系统。

网络上传输的数据包通过网卡进入到网络协议分析器系统。协议分析器所使用的网卡和网卡 驱动程序必须能够支持“混杂模式操作(Promiscuous Mode Operation)”。因为只有运行在混杂模式下的网卡才能够捕获到网络中传输到其他设备的“广播数据包、多播数据包、单播数据包以及错误数据包等等”,两者一起协同工作。

image.png

抓非本地的包

1.简介

获取非本地的数据流的主要方法:

1.port映射

局域网内。在同一交换机下工作的PC机,如图1.29所看到的。PC机A和PC机B在同一交换机下工作。PC机A安装Wireshark后。把交换机上随意一个PC机的数据port做镜像,设置交换机来复制全部数据到用户交换port下的Wiresharkport。这时PC机A就能够抓取到其它PC机的数据了。如抓取PC机B的数据。

2.使用集线器

交换机换成集线器,这种话全部的数据包都是通发的。也就是说,无论是谁的数据包都会发到这个集线器上的每一个计算机。

仅仅要将网卡设置为混杂模式就能抓到别人的包。

3.利用ARP欺骗

我们都知道。发送、接受数据都要经过路由器

PC机A安装Wireshark后,能够利用ARP欺骗,来抓取PC机B、PC机C或PC机B与PC机C之间的数据包了。PC机A在局域网内发送ARP包,使其它计算机都误以为它是网关。这种话。其它计算机都会将它们的数据包发送到PC机A那里,因此PC机A就能够抓到它们的包了。

2.arp欺骗

在每台主机都有一个ARP缓存表,缓存表中记录了IP地址与MAC地址的对应关系,而局域网数据传输依靠的是MAC地址。

假设主机 A 192.168.1.2,B 192.168.1.3,C 192.168.1.4; 网关 G 192.168.1.1; 在同一局域网,主机A和B通过网关G相互通信,就好比A和B两个人写信,由邮递员G送信,C永远都不会知道A和B之间说了些什么话。但是并不是想象中的那么安全,在ARP缓存表机制存在一个缺陷,就是当请求主机收到ARP应答包后,不会去验证自己是否向对方主机发送过ARP请求包,就直接把这个返回包中的IP地址与MAC地址的对应关系保存进ARP缓存表中,如果原有相同IP对应关系,原有的则会被替换。

这样C就有了偷听A和B的谈话的可能,继续思考上面的例子:

C假扮邮递员,首先要告诉A说:“我就是邮递员” (C主机向A发送构造好的返回包,源IP为G 192.168.1.1,源MAC为C自己的MAC地址),愚蠢的A很轻易的相信了,直接把“C是邮递员”这个信息记在了脑子里;

C再假扮A,告诉邮递员:“我就是A” (C向网关G发送构造好的返回包,源IP为A 192.168.1.2,源MAC地址为自己的MAC地址),智商捉急的邮递员想都没想就相信了,以后就把B的来信送给了C,C当然就可以知道A和B之间聊了些什么

3.arpspoof

在A物理机上开启kali,在kali内获取B物理机上的数据流

  1. 获取物理机的ip地址,确认网关等

  2. fping查看当前局域网还存在哪些主机,确定要攻击的主机是否存在

    image.png

  3. 更改ip转发为1,然后用arpspoof工具开始arp欺骗

    image.png

  4. 在kali里面开启wireshark,并用过滤器获取物理机的包

    image.png

4.分析

arp协议

一台主机有IP数据报文发送给另一台主机,它都要知道接收方的逻辑(IP)地址。但是IP地址必须封装成帧才能通过物理网络。这就意味着发送方必须有接收方的物理(MAC)地址,因此需要完成逻辑地址到物理地址的映射。而ARP协议可以接收来自IP协议的逻辑地址,将其映射为相应的物理地址,然后把物理地址递交给数据链路层。
image.png
Ethernet II: 数据链路层以太网帧头部信息,在这里我们可以看到地址是ff:ff:ff:ff:ff:ff:ff也就是广播地址,而源mac地址是44:1a:fa:d4:70:02

下面的地址解析协议可以看到,源ip地址和目的ip地址

image.png

我们去看到这个info中,简介易懂的写到,who has 10.63.**.**

另外在这里可以看到一个arp的请求和响应

image.png

在请求包中

image.png

在响应包中

image.png

可以很明显的看到询问由ip地址获取mac地址的过程

dhcp协议

DHCP(Dynamic Host Configuration Protocol,动态主机配置协议),前身是BOOTP协议,是一个局域网的网络协议,使用UDP协议工作,统一使用两个IANA分配的端口:67(服务器端),68(客户端)。DHCP通常被用于局域网环境,主要作用是集中的管理、分配IP地址,使client动态的获得IP地址、Gateway地址、DNS服务器地址等信息,并能够提升地址的使用率。简单来说,DHCP就是一个不需要账号密码登录的、自动给内网机器分配IP地址等信息的协议

报文类型说明
Discover(0x01)DHCP客户端在请求IP地址时并不知道DHCP服务器的位置,因此DHCP客户端会在本地网络内以广播方式发送Discover请求报文,以发现网络中的DHCP服务器。所有收到Discover报文的DHCP服务器都会发送应答报文,DHCP客户端据此可以知道网络中存在的DHCP服务器的位置。
Offer(0x02)DHCP服务器收到Discover报文后,就会在所配置的地址池中查找一个合适的IP地址,加上相应的租约期限和其他配置信息(如网关、DNS服务器等),构造一个Offer报文,发送给DHCP客户端,告知用户本服务器可以为其提供IP地址。但这个报文只是告诉DHCP客户端可以提供IP地址,最终还需要客户端通过ARP来检测该IP地址是否重复。
Request(0x03)DHCP客户端可能会收到很多Offer请求报文,所以必须在这些应答中选择一个。通常是选择第一个Offer应答报文的服务器作为自己的目标服务器,并向该服务器发送一个广播的Request请求报文,通告选择的服务器,希望获得所分配的IP地址。另外,DHCP客户端在成功获取IP地址后,在地址使用租期达到50%时,会向DHCP服务器发送单播Request请求报文请求续延租约,如果没有收到ACK报文,在租期达到87.5%时,会再次发送广播的Request请求报文以请求续延租约。
ACK(0x05)DHCP服务器收到Request请求报文后,根据Request报文中携带的用户MAC来查找有没有相应的租约记录,如果有则发送ACK应答报文,通知用户可以使用分配的IP地址。
NAK(0x06)如果DHCP服务器收到Request请求报文后,没有发现有相应的租约记录或者由于某些原因无法正常分配IP地址,则向DHCP客户端发送NAK应答报文,通知用户无法分配合适的IP地址。
Release(0x07)当DHCP客户端不再需要使用分配IP地址时(一般出现在客户端关机、下线等状况)就会主动向DHCP服务器发送RELEASE请求报文,告知服务器用户不再需要分配IP地址,请求DHCP服务器释放对应的IP地址。
Decline(0x04)DHCP客户端收到DHCP服务器ACK应答报文后,通过地址冲突检测发现服务器分配的地址冲突或者由于其他原因导致不能使用,则会向DHCP服务器发送Decline请求报文,通知服务器所分配的IP地址不可用,以期获得新的IP地址。
Inform(0x08)DHCP客户端如果需要从DHCP服务器端获取更为详细的配置信息,则向DHCP服务器发送Inform请求报文;DHCP服务器在收到该报文后,将根据租约进行查找到相应的配置信息后,向DHCP客户端发送ACK应答报文。目前基本上不用了。

用wireshark捕捉包

image.png

  1. discover

    image.png

    发出一个广播请求,255.255.255.255去寻找dhcp服务器

    这个时候机器是没有ip的

    image.png

  2. offer

    image.png

    dhcp服务器会根据discover包,根据dhcp和请求机的mac地址,制作一个offer数据包

    里面提供了一个可用的ip地址

    image.png

    这里包括子网掩码、dns服务器的ip、路由网关等

image.png

  1. request

    image.png

    源IP和目的IP依然是0.0.0.0和255.255.255.255

  2. ack
    image.png

    Your(client) IP address:分配给Client的可用IP
    后面有许多项option信息,前两项是DHCP服务器发送的消息类型(ACK)和服务器的身份标识,后面几项是:
    Subnet Mask:Client端分配到的IP的子网掩码
    Router:路由器
    Domain Name Server:DNS,域名服务器
    Domain Name:域名
    IP Address Lease Time:IP租用期

icmp协议

IP协议是一种面向无连接的数据报协议,它是一种不可靠的协议,它不提供任何差错检验。因此网际报文控制协议(Internet Control Message Protocol)ICMP出现了,ICMP协议用于IP主机、路由器之间传递控制消息,这里的控制消息可以包括很多种:数据报错误信息、网络状况信息、主机状况信息等,虽然这些控制消息虽然并不传输用户数据,但对于用户数据报的有效递交起着重要作用,从TCP/IP的分层结构看ICMP属于网络层,它配合着IP数据报的提交,提高IP数据报递交的可靠性。ICMP是封装在IP数据报中进行发送的,从这点看来,ICMP协议又有点像一个传输层协议,其实不然,因为ICMP报文的目的不是目的主机上的某个应用程序,它不为应用程序提供传输服务,ICMP报文的目的是目的主机上的网络层处理软件。简单的来说,ICMP协议就像奔波于网络中的一名医生,它能及时检测并汇报网络中可能存在的问题,为解决网络错误或拥塞提供了最有效的手段

image.png

image.png

查询报文能用于对某些网络问题的诊断,也可用于网络设备信息的交互,查询报文都是成对出现的

image.png

对于出错的包,这里的检验和会不被认可

本文来自互联网用户投稿,该文观点仅代表作者本人,不代表本站立场。本站仅提供信息存储空间服务,不拥有所有权,不承担相关法律责任。如若转载,请注明出处:http://www.coloradmin.cn/o/95347.html

如若内容造成侵权/违法违规/事实不符,请联系多彩编程网进行投诉反馈,一经查实,立即删除!

相关文章

Python爬取福利图要在中午,因为早晚会出事!我才存了2000文件夹

爱美之心人皆有之,我们爬取找寻这些漂亮小姐姐的图片并不是出于什么龌龊的目的。而是欣赏美好的东西总是会让人心情愉悦的,对于美丽事物的追求是人与生俱来的天性。 爬虫成果 发现很多想要学习Python却不知道该怎么下手的朋友,正好我这里整…

基于场景的数据集------明厨亮灶数据集

为了和各位开发爱好者深入合作交流,特此准备分批次开放数据集拱大家交流学士研究使用,整理的非常细腻,有些是专业队伍标注的,主要是菲律宾那边的团队进行标注的。依据众多算法搭建的算法平台主体算法包括 人脸识别,人…

Vue3-ElemenPlu,全栈开发后台系统-JWT方案讲解第三章-Koa架构设计接口方面实现mongdb安装配置工具函数的封装前台首页实现

第三章-Koa架构设计 #!/usr/bin/env node/*** Module dependencies.*/var app = require(../app); var debug = require(debug)

公司新来的00后真是卷王,工作没两年,跳槽到我们公司起薪18K都快接近我了

都说00后躺平了,但是有一说一,该卷的还是卷。这不,前段时间我们公司来了个00后,工作没两年,跳槽到我们公司起薪18K,都快接近我了。后来才知道人家是个卷王,从早干到晚就差搬张床到工位睡觉了。 …

【LVGL学习笔记】(一)环境搭建

LVGL全程LittleVGL,是一个轻量化的,开源的,用于嵌入式GUI设计的图形库。并且配合LVGL模拟器,可以在电脑对界面进行编辑显示,测试通过后再移植进嵌入式设备中,可以高效地进行开发。 一.嵌入式设备的移植 L…

开发Java Web项目基础储备

大家好,我是邵奈一,一个不务正业的程序猿、正儿八经的斜杠青年。 1、世人称我为:被代码耽误的诗人、没天赋的书法家、五音不全的歌手、专业跑龙套演员、不合格的运动员… 2、这几年,我整理了很多IT技术相关的教程给大家&#xff0…

互联网寒冬下奇葩公司行为艺术一览!你就是想笑死我继承我的代码

干货不少,有图有真相,大家慢慢看下去! 既然创业,我为什么不自己当老板,要去给你当合伙人?是为了那1K-2K的高薪吗? 这招的不是高级工程师与合伙人,招的怕不是个傻子! 有…

[激光原理与应用-58]:激光器 - 光学 - 常见光学镜片的特性

目录 一、纯度 二、透明度与透光率 三、均匀度 四、折射率 五、色散率 六、反射率 七、透光率 八、光线吸收率 一、纯度 光学纯度又称旋光纯度。 二、透明度与透光率 透光率,表示光线透过介质的能力,是透过透明或半透明体的光通量与其入射光…

域名停靠(域名抢注的几种形式)

域名停靠,又叫域名停放。简单来说,就是将具有一定流量的优质域名交给域名停靠服务商管理,让他们在你的域名上面投放广告。 “域名停靠”来自于英文Domain Name Parking,简称DNParking,也称域名停放。如果您有一个理想的域名或者带有流量(即&…

杂七杂八的网络安全知识

杂七杂八的网络安全知识 博客链接:https://www.blog.23day.site/articles/81 一、信息安全概述 1.信息与信息安全 信息与信息技术 信息奠基人:香农:信息是用来消除随机不确定性的东西 信息的定义:信息是有意义的数据&#xff…

python采集付费论文批量下载 并保存到文档,毕设论文再也不愁......

嗨害大家好鸭! 我是小熊猫鸭~ 大家是不是在写毕业论文的时候 需要参考某一段的内容 要用到复制粘贴,但是吧,某文库就需要付费, 就老难受了… 我们今天就来解决这个"老难受" 环境使用: python 3.8 pych…

2021年全球区块链投融资概况 美国融资量最多 数字资产相关领域依旧火热

据不完全统计,2021年,全球区块链产业共发生1812笔融资事件,从月度投资量来看,3月和4月投资量均达200笔以上,3月数量最多为239笔,其次是4月数量为214笔。1月和2月则获投量最少,均不达100笔&#…

怎么写一个树形穿梭框

图片懒加载基本原理 所谓图片懒加载,就是需要展示图片的时候再加载,当图片没有进入我们的视觉范围内的时候,图片还没有加载,只用一个占位符或者 loading 图片替代。当我们滚动页面时,占位符或者 loading 图片进入到我…

[附源码]Python计算机毕业设计Django绿色生活交流社区网站

项目运行 环境配置: Pychram社区版 python3.7.7 Mysql5.7 HBuilderXlist pipNavicat11Djangonodejs。 项目技术: django python Vue 等等组成,B/S模式 pychram管理等等。 环境需要 1.运行环境:最好是python3.7.7,…

部门来了个测试开发,听说是培训生,上来一顿操作给我看呆了...

📌 博客主页: 程序员二黑 📌 专注于软件测试领域相关技术实践和思考,持续分享自动化软件测试开发干货知识! 📌 公号同名,欢迎加入我的测试交流群,我们一起交流学习! 前段…

大数据呀大数据

大数据 啥是大数据? 我自己的一些经历–>>在做代码开发之前,一直觉得大数据这件事是高大上的一门学问,门槛很高,而且我上大学的时候这个词才刚刚在众多互联网记住中展露头角; 我的个人经历–>> 我上大学时那时候安卓的版本才到安卓4.4,在智能手机出来普及以前,各…

STM32 10个工程实战前言

从今年2022年元旦开通博客到现在基本接近一年了,真的会感到感觉时间飞逝,尤其当你全身心地投入一件工作上时,在FPGA基础篇和FPGA 20个经理例程篇后,又准备了STM32基础篇和STM32 10个工程实战篇,前两者即将收尾&#xf…

外汇天眼:欧洲央行加息50基点!加息的步伐将会放缓

欧洲央行(European Central Bank)在周四的会议上选择小幅加息,将基准利率从1.5%上调至2%。而其主要再融资操作和边际贷款工具的借贷成本分别升至2.50%和2.75%。 它还表示,从2023年3月初开始,到2023年第二季度末,它将开始平均每月减…

付费视频被人薅走?了解一下hls视频加密

前言 作者现在主要负责的项目是通过音视频等课程提高教师职业能力的,说白了就是给老师卖课赚钱。大家都知道知识付费现在还是很火的,既然是要付费的知识,就肯定有人想白嫖,直接去下载课程里面音视频。业界就有很多工具&#xff0…

世界杯观赛调研公布: Z世代消费者首选海信电视

2022世界杯决赛在即,作为观赛主体的Z世代迎来了四年一度的足球狂欢季。12月12日,市场研究机构千趣GKURC(关键用户调查研究中心)发布了《Z世代2022世界杯观赛和消费行为特征》调查报告(以下简称报告)。 报告…