圖I-11 開(kāi)始Sniffer

集線器環(huán)境下的密碼獲取。單擊圖I-11中上方的"Sniffer"選項(xiàng)卡，再單擊下方的"Passwords"選項(xiàng)卡，開(kāi)始捕獲敏感的密碼信息，包括郵件，Telnet，F(xiàn)TP等。在虛擬機(jī)2上開(kāi)啟Telnet服務(wù)，在真實(shí)機(jī)上telnet 192.168.1.210，然后輸入用戶(hù)和密碼進(jìn)行登錄，如圖I-12所示左側(cè)導(dǎo)航欄中的Telnet提示捕獲了一條信息。

（點(diǎn)擊查看大圖）圖I-12 監(jiān)聽(tīng)敏感信息

單擊左側(cè)導(dǎo)航欄中的"Telnet"，在右邊的列表欄中，右鍵單擊捕獲的那個(gè)條目，在快捷菜單中選擇"View"，打開(kāi)如圖I-13所示的記事本文件，從中不難看出用戶(hù)名是administrator，密碼是cisco。圖中administrator單詞中每個(gè)字母顯示了兩次，因有一次是telnet的回顯。

圖I-13 捕獲的密碼文件

交換機(jī)環(huán)境下的密碼獲取。剛才很容易獲取密碼的原因是因?yàn)樘摂M機(jī)1和虛擬機(jī)2，以及真實(shí)機(jī)都是連接在真實(shí)機(jī)的網(wǎng)卡上，相當(dāng)于都接在一臺(tái)集線器上，現(xiàn)實(shí)環(huán)境中，更常見(jiàn)的是交換機(jī)，交換機(jī)不會(huì)把兩臺(tái)主機(jī)或某臺(tái)主機(jī)與網(wǎng)關(guān)之間的通信傳給攻擊者的主機(jī)。這時(shí)就需要使用ARP欺騙，單擊如圖I-12所示下方的"ARP"選項(xiàng)卡，再單擊"Add to list"工具欄圖標(biāo)，如圖I-14所示。

圖I-14 增加ARP欺騙到列表

打開(kāi)ARP的條目如圖I-15所示，在左邊選中一個(gè)IP地址，在右邊選中一個(gè)IP地址，這兩個(gè)IP地址的主機(jī)將被欺騙。

(點(diǎn)擊查看大圖）圖I-15 選擇被欺騙的計(jì)算機(jī)

單擊"OK"按鈕返回，再單擊圖I-11所示工具欄"Start/Stop Sniffer"圖標(biāo)右邊的 "Start/Stop ARP"圖標(biāo)，開(kāi)始執(zhí)行ARP欺騙，如圖I-15所示選擇的計(jì)算機(jī)之間的通信將從虛擬機(jī)1中轉(zhuǎn)，虛擬機(jī)1自然可以獲取它們之間的明文敏感信息。由此看來(lái)交換機(jī)的網(wǎng)絡(luò)也存在安全隱患。

實(shí)驗(yàn)I ARP攻擊的攻、判、防

3．如何判斷正在遭受ARP攻擊

上面介紹的ARP欺騙攻擊不會(huì)造成網(wǎng)絡(luò)阻塞，但卻會(huì)發(fā)生泄密，接下來(lái)介紹解決的辦法。判斷是否存在第一種ARP攻擊的方法比較簡(jiǎn)單，步驟如下。

持續(xù)ping不能訪問(wèn)的IP地址。在出現(xiàn)問(wèn)題計(jì)算機(jī)（虛擬機(jī)1）的DOS窗口中輸入"ping 192.168.1.200 -t"，用來(lái)測(cè)試網(wǎng)絡(luò)的連通性；192.168.1.200是不能正常通信的計(jì)算機(jī)（這里是真實(shí)機(jī)），實(shí)際工程中換成不能訪問(wèn)的同一網(wǎng)段的目標(biāo)計(jì)算機(jī)的IP地址。如果正在遭受ARP攻擊，屏幕將會(huì)提示"Request time out"。

在受害計(jì)算機(jī)（虛擬機(jī)1）上開(kāi)啟另外一個(gè)DOS窗口，輸入"arp -d"，arp是一個(gè)DOS命令，能解析出IP地址對(duì)應(yīng)的網(wǎng)卡MAC地址，-d用來(lái)清除本機(jī)緩存的所有IP和MAC地址的對(duì)應(yīng)。如果發(fā)現(xiàn)Step 1中的窗口的內(nèi)容變成持續(xù)的"Reply from……"，則表示曾遭受過(guò)ARP攻擊，現(xiàn)在已經(jīng)正常了；如果僅出現(xiàn)了一個(gè)"Reply from……"包，后面又變成了"Request time out"包，則表明該計(jì)算機(jī)正在遭受持續(xù)不斷的ARP攻擊。

yajing