试验环境
- Kali Linux 2023.1
- Wireshark 4.0.6
- eNSP 1.3
- WinPcap 4.1.3
- VirtualBox 5.2.44
试验背景
本次试验试验背景
Client 为客户机,Server 为服务器,对外供给 FTP 服务,Cloud 中为进犯机 Kali Linux,进犯机为了获得 Client 的 ftp 账号和暗码,对 Client 和 Server 进行了进犯。
试验过程
一、衔接试验拓扑图
在 Cloud 中的设置如下所示。
注意虚拟网卡的网段,使得 Client,Server和Kali Linux 处于同一网段内。
二、正常的 ARP 报文剖析
此刻咱们在 Ge0/0/1 口启动 WireShark 抓包,之后运用 Client Ping Server,检查抓包内容。
能够看到抓到了两个 ARP 包 和两个 ICMP 包,两个 ICMP 报文是 Ping 指令所产生的,咱们要点看前面的两个 ARP 报文。
选中第一个包,检查概况:
ARP 报文被封装在以太网帧里面进行传输,能够看到以太网帧的 Src 为 Client 的 MAC 地址,Dst 为播送地址,类型为 ARP。
ARP 报文要点标示了操作码(Opcode)为1,意为 ARP 恳求报文。发送端的 MAC 地址和 IP 地址,以及恳求不知道 MAC 的 IP 地址。
再选中第二个包,检查概况:
此刻以太网帧的 Src 变成了 Client 所恳求的 MAC 地址,也便是 Server 的 MAC 地址,而 Dst 变成了 Client 的 MAC 地址。
ARP 报文的操作码(Opcode)变成了2,代表这是一个 ARP 回复报文。ARP 回复报文的源便是 ARP 恳求报文的方针,而回复报文的方针便是恳求报文的源。
三、进行 ARP 诈骗进犯
咱们翻开 Server 的 ftp 服务器,使其对外供给服务,在 Client 端设置用户名为 admin 暗码为 admin666。这一步是为了成功诈骗后获取到有用信息。
翻开 Kali Linux,先用 cat /proc/sys/net/ipv4/ip_forward 检查一下是否开转发,0 为关闭,1 为敞开。咱们现在先让它关闭。假如结果是 1 ,就运用echo 0 >> /proc/sys/net/ipv4/ip_forward 把它改为 0
运用 arpspoof 进行 ARP 诈骗。首先在 Cloud 的 E0/0/1 接口上敞开 WireShark 监听,再运用指令 arpspoof -i 网卡接口 -t 方针主机IP地址 要伪装成的IP地址 在本次试验中的指令为arpspoof -i eth0 -t 192.168.164.2 192.168.164.3
此刻观察 WireShark 的抓包页面。
能够看到进犯机对 Client 发送了很多 ARP 响应包,试图让 Client 信任自己是 192.168.164.3,咱们翻开一个报文检查概况。
能够看到发送端为进犯机,接收端为 Client。
在进犯 Client 的时候,咱们尝试运用 Client 登录 ftp 服务器。
会发现登录失利,无法成功衔接服务器。
此刻咱们敞开转发。echo 1 >> /proc/sys/net/ipv4/ip_forward
再次开端进犯 Client,此刻运用 Client 登录 FTP 服务器。
能够看到能够正常登录,此刻咱们检查 WireShark 的抓包界面。挑选 FTP 的流量,点击追踪 TCP 流。
能够看到还是收到了 Client 的账号和暗码,虽然报文不完好,但还是能够解析出内容。
此刻咱们在进犯机中同时诈骗 Client 和 Server。在进犯机中再敞开一个终端,运用 arpspoof -i eth0 -t 192.168.164.3 192.168.164.2 开端对 Server 进行 ARP 诈骗。此刻再运用 WireShark 进行抓包。运用 Client 进行登录 FTP。
检查 WireShark 抓包界面,挑选 FTP 报文进行追踪 TCP 流。
能够看到抓到了完好的通讯流量。
至此,本次试验结束。
