Toad的博客

前面两篇文章叙述了ARP欺骗攻击的原理和最有效的防御措施！这篇文章，我们从Sniffer的角度，进行客观的分析！还是老规矩，实例在文章的结尾处下载（用“科来”打开，实例来自csna）！请看下面两张图：

                                                                    图1

                                                                    图2 

Toad先不告诉大家，这两张图中，什么地方的数据是很敏感的！请，读者朋友仔细观察，以找到答案！

waiting。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。

哈哈，找到了吗？

如果，未找到，请接着往下看。编号为1 的包，是一个ARP请求。在这个ARP请求中，源IP和目标IP都是：192.168.1.254。为什么会这样呢？请大家回忆“什么是ARP攻击”这篇文章中所讲的内容，对，这个包就是Toad说过的“1）、第一个ARP请求包用于查询同网段内是否有跟自己IP相同的主机”，以后讲“ARP免费”机制时再详加讨论。这个包对于我们抓到凶手，有一定的参考价值，因为这个包是由ARP协议自动产生，并非用户行为。那么 ，这里的源MAC和源IP就绝对是真实的，下文，就不用Toad多说了吧！但是，“ARP免费”机制是否只在系统引导时触发，Toad不敢肯定，没做过这种实验，没有实践经验的问题，Toad向来不喜欢下定论！如果，“ARP免费”机制只在主机引导时产生，那么这个包，就很难抓到了！攻击者，不会攻击一会儿，就重启吧！哈哈，万一真被抓到了，那就要恭喜你了，可以省不少力气！

我们再看编号为2的包，这里的源MAC已经发生变化了，但，源IP依然是：192.168.1.254。说明，ARP欺骗已经开始！（看到这里，也说明，这个实例，只是这个实例作者自己搞的一个测试而已，并非真正的ARP欺骗行为！）“目的MAC”已经变为单播，目的IP已经是被害者的IP。

ARP欺骗攻击实例：点击下载

文章来源于>>TCP/IP协议分析博客           转载请注明：Toad的博客