eNSP之ARP欺骗

本文主要介绍eNSP结合Evil FOCA软件模拟ARP欺骗。

ARP欺骗原理

如下图，攻击者PC3不断发送错误的MAC更新信息，使通信双方PC1和PC2都认为对方的MAC地址是00-0C-29-33-33-33，实际上PC3以中间人的身份截获了双方的数据。

使用Evil FOCA进行ARP欺骗实验

1、Evil FOCA介绍

软件链接：https://pan.baidu.com/s/1qgFPQXr7EUoyjoQGhE4fLA
提取码：4096
1）EvilFoca是Windows环境下基于.NET FrameWork的一款轻量级的劫持测试工具。
2）与Kali下复杂的命令相比，EvilFoca更加小巧、轻便、简单，但其效果更加显著高效。

2、拓扑环境

Could的配置如下：
绑定一张闲置网卡，这里我使用的是Vmware Net8的网卡。
上图中的地址段使用的是该网卡的地址段，并且本实验不用禁用正在上网的网卡。

3、测试连通性

在真机上使用ping命令测试：

4、eNSP中开启服务器的FTP服务，并测试。

5、运行Evil FOCA进行ARP欺骗。

1）选择网卡

2）选择要对其进行欺骗的主机

若只进行单向欺骗，上图中的文本框中只用在一边选择即可。

3）抓取数据包

可以看见，ARP成对出现，即，双向欺骗。
Evil FOCA对于Cilent来说，它欺骗了Cilent，告诉他服务器（192.168.156.100）的MAC为： 00-50-56-C0-00-08。同理，也对服务器进行欺骗。

并且报文都是以回复的形式发送的，MAC地址都是相同的，该MAC地址是VMware Net8的MAC。

具体的报文内容。
对客户端进行欺骗

对服务器进行欺骗

可以看见，该报文类型为回复(Reply)，发送者的IP虽然是服务器的地址，但他的MAC地址却被篡改了。

4）到此，攻击者已经欺骗成功，通信双方的数据此时便会发给攻击者，但通信双方浑然不知。

使用Client登录服务器的FTP服务，默认用户为1，密码为1。

由于交换机是以MAC地址表进行数据转发的，而Evil FOCA实时发送欺骗信息，所以交换机会一直记录欺骗者的MAC和对应的接口信息，当通信双方通信时，由于MAC地址被篡改，双方的通信数据都会发送给攻击者，此时攻击者，便可以抓取到一些敏感信息。


感谢您的阅读。