网络嗅探与欺骗

中国人民公安大学

Chinese people’ public security university

 

网络对抗技术

实验报告

 

实验二

网络嗅探与欺骗

 

 

 

学生姓名	陈风源
年级	2015级
区队	二区队
指导教师	高见

 

第一部分  ARP欺骗 

李犇（201521420012）与陈风源（201521420009）一组进行实验

任务一：在主机A上对主机B进行ARP欺骗

 

    （1）双击启动Abel&cain软件，点击sniffer选项卡。

 

（2）下图选择默认，点击“OK”。

 

（3）下图显示了局域网中的主机情况。

 

（4）在窗口左边显示了局域网中的主机和网关，我们点击ARP被欺骗主机（即主机B，IP：10.1.1.231）。

（5）在右侧部分，我们点击10.1.1.1（即网关），点击“OK”。左侧部分表示对哪一个主机进行欺骗，在这里我们选择10.1.1.231（及主机B）；右侧部分表示Abel&cain进行伪造的主机，在这里我们选择网关即运行Abel&cain的主机（这里是A）要冒充网关。对B（10.1.1.231）进行ARP欺骗，欺骗的结果是主机B会认为网关是运行Abel&cain软件的主机（即主机A）。在右侧部分选择的主机，就是Abel&cain进行伪造的对象。

 

（6）点击左上角的图标，开始对主机B（10.1.1.231）进行欺骗。

 

（7） 我们先在主机B上ping一下主机A，然后在cmd窗口输入“arp –a”。此时，在主机B看来，网关的MAC地址就是主机A的MAC地址了。主机B会把A作为网关。如下图所示。

 

 

任务二：在主机A上对主机B进行DNS欺骗

    （1）在ARP欺骗的基础上，我们进入dns欺骗。

 

    （2）首先在主机B上ping tools.hetianlab.com，此时解析到172.16.1.254

 

（3）打开tools.hetianlab.com/，可以看到apache的默认主页。

 

（4）访问tools.hetianlab.com/tools，可以看到一些工具。

（5）在空白区域右击，选择“Add to list”。“DNS Name Requested”表示对方（主机B）输入的url，下面的IP栏表示要将对方输入的url解析成的IP。这里我们输入的是“10.1.1.39”。

 

（6）我们在10.1.1.39上搭建了一个web服务器，并且有配置tools.hetianlab.com的域名，可以在配置文件C:\xampp\xampp\apache\conf\extra\httpd-vhosts.conf 里可以看到。

 

在主机B上访问“tools.hetianlab.com”时，会自动跳转到10.1.1.39指定的服务器页面上。该页面是模仿的百度首页。

 

  （7）此时Abel&cain的状态如下图。

 

（8）在主机B上ping tools.hetianlab.com，可以看到，此时该域名已经指向了10.1.1.39

 

（9）访问“tools.hetianlab.com”，查看结果。

（10）而如果此时在访问tools.hetianlab.com/tools，会提示404。

 

 

任务三：在主机A上查看主机B的http数据包

 

    （1）进入左下角的“Passwords”项，点击左侧“HTTP”，就可以监视主机B在进行HTTP请求时输入的用户名密码情况。

 

（2）我们在主机B上，访问“tools.hetianlab.com/login.php(在没有开始DNS欺骗之前，访问该页面会提示404)

 

（3）这里我们输入用户名：username密码pass，点击“登陆”。在主机A上即可看到输入情况，但这里不保证用户输入的是正确的用户名和密码，这里只是拿到了用户名输入的数据而已。对于我们这里伪造的“tools.hetianlab.com”我们拿到的用户名、密码是明文，但大部分其他网站数据是加过密的，如126邮箱等。

 

 

 

 第二部分 FTP协议分析

 该部分不是两个同学交一份，每个同学均要做，AB两个同学相互配合。

1. 两个同学一组，A和B。

2.A同学架设FTP服务器，并设置用户名和密码，例如gao / gao

3.B同学在机器中安装Wireshark，并将其打开；之后用用户名和密码登陆A同学的FTP服务器，并上传一张图片。

4.B同学停止Wireshark抓包，并和A同学一起分析数据包中的FTP登录过程，还原登录用户名和密码，以及上传文件。

 追踪流

流分析

 

以下就是被还原的图片