圖I-11 開始Sniffer

集線器環(huán)境下的密碼獲取。單擊圖I-11中上方的"Sniffer"選項卡，再單擊下方的"Passwords"選項卡，開始捕獲敏感的密碼信息，包括郵件，Telnet，F(xiàn)TP等。在虛擬機2上開啟Telnet服務(wù)，在真實機上telnet 192.168.1.210，然后輸入用戶和密碼進行登錄，如圖I-12所示左側(cè)導(dǎo)航欄中的Telnet提示捕獲了一條信息。

（點擊查看大圖）圖I-12 監(jiān)聽敏感信息

單擊左側(cè)導(dǎo)航欄中的"Telnet"，在右邊的列表欄中，右鍵單擊捕獲的那個條目，在快捷菜單中選擇"View"，打開如圖I-13所示的記事本文件，從中不難看出用戶名是administrator，密碼是cisco。圖中administrator單詞中每個字母顯示了兩次，因有一次是telnet的回顯。

圖I-13 捕獲的密碼文件

交換機環(huán)境下的密碼獲取。剛才很容易獲取密碼的原因是因為虛擬機1和虛擬機2，以及真實機都是連接在真實機的網(wǎng)卡上，相當于都接在一臺集線器上，現(xiàn)實環(huán)境中，更常見的是交換機，交換機不會把兩臺主機或某臺主機與網(wǎng)關(guān)之間的通信傳給攻擊者的主機。這時就需要使用ARP欺騙，單擊如圖I-12所示下方的"ARP"選項卡，再單擊"Add to list"工具欄圖標，如圖I-14所示。

圖I-14 增加ARP欺騙到列表

打開ARP的條目如圖I-15所示，在左邊選中一個IP地址，在右邊選中一個IP地址，這兩個IP地址的主機將被欺騙。

(點擊查看大圖）圖I-15 選擇被欺騙的計算機

單擊"OK"按鈕返回，再單擊圖I-11所示工具欄"Start/Stop Sniffer"圖標右邊的 "Start/Stop ARP"圖標，開始執(zhí)行ARP欺騙，如圖I-15所示選擇的計算機之間的通信將從虛擬機1中轉(zhuǎn)，虛擬機1自然可以獲取它們之間的明文敏感信息。由此看來交換機的網(wǎng)絡(luò)也存在安全隱患。

實驗I ARP攻擊的攻、判、防

3．如何判斷正在遭受ARP攻擊

上面介紹的ARP欺騙攻擊不會造成網(wǎng)絡(luò)阻塞，但卻會發(fā)生泄密，接下來介紹解決的辦法。判斷是否存在第一種ARP攻擊的方法比較簡單，步驟如下。

持續(xù)ping不能訪問的IP地址。在出現(xiàn)問題計算機（虛擬機1）的DOS窗口中輸入"ping 192.168.1.200 -t"，用來測試網(wǎng)絡(luò)的連通性；192.168.1.200是不能正常通信的計算機（這里是真實機），實際工程中換成不能訪問的同一網(wǎng)段的目標計算機的IP地址。如果正在遭受ARP攻擊，屏幕將會提示"Request time out"。

在受害計算機（虛擬機1）上開啟另外一個DOS窗口，輸入"arp -d"，arp是一個DOS命令，能解析出IP地址對應(yīng)的網(wǎng)卡MAC地址，-d用來清除本機緩存的所有IP和MAC地址的對應(yīng)。如果發(fā)現(xiàn)Step 1中的窗口的內(nèi)容變成持續(xù)的"Reply from……"，則表示曾遭受過ARP攻擊，現(xiàn)在已經(jīng)正常了；如果僅出現(xiàn)了一個"Reply from……"包，后面又變成了"Request time out"包，則表明該計算機正在遭受持續(xù)不斷的ARP攻擊。

yajing