用sniffer pro實現ARP***測試

用sniffer pro實現ARP***測試
1 操作原理
1）當節點B收到節點A的ARP請求後，
B會檢查ARP請求報文的硬件類型字段和協議類型字段，不匹配則丟棄，匹配則繼續；
然後檢查節點B自己的ARP緩存，看是否有SIP的對應項，如果有則更新MAC；
如果沒有，則再檢查DIP，看是否爲自己的IP，如果是則把SIP和SM對應的項存入ARP緩存中；
最後檢查操作字段，發現爲ARP請求，則響應ARP應答。

2）當節點A收到節點B的ARP應答後，
A會檢查ARP應答報文硬件類型字段和協議類型字段，不匹配則丟棄，匹配則繼續；
然後檢查節點A自己的ARP緩存，看是否有SIP的對應項，如果有則更新MAC；
如果沒有，則再檢查DIP，看是否爲自己的IP，如果是則把SIP和SM對應的項存入ARP緩存中；
最後檢查操作字段，發現爲ARP應答，則丟棄本報文。

2 網關欺騙
1）基本原理
利用ARP應答，向某一臺計算機發送ARP應答，源IP爲網關IP，MAC爲某一個假的MAC，而默認XP/2003系統會把MAC保存2分鐘，在2分鐘內用使用一次就延長2分鐘，默認最大爲10分鐘。除非收到正確的ARP應答來刷新ARP緩存表，否則，在這段時間內該PC的數據包將被轉發到一個假的MAC上，導致不能訪問外網。
2）利用sniffer pro的造包功能可以實現
網絡環境：
 省略！呵呵（太簡單了，不想上傳）
同一個局域網內，PC1爲***者，PC2爲這被***者，路由器爲網關！
PC1：192.168.0.25
PC2：192.168.0.44
GW：192.168.0.1

***步驟：

第一步，PC1打開sniffer，定義一個過濾器（只抓IP ARP協議）開始抓包，
 

                                                           過慮器

然後用在PC1上的cmd中用arp -d 把arp緩存清除一下，PC1 ping PC2。
 

                                                cmd上的操作
此過程用有兩個作用：
其一，可以抓到一些arp的響應包，方便後面的造包；
其二，可以arp -a命令查看到PC2的MAC；

 

第二步，停止抓包，打開解碼器，可以看到已經抓到ARP包
 

第三步，選擇一個ARP響應包，在解碼窗口右擊－－發送此當關幀。此時打開造包窗口，如下圖：
 
第四步，此時進行一些簡的修改就可以實現網關欺騙了。
二層頭的更改：
DMAC      改爲   PC2的MAC
SMAC       改爲   PC1的MAC

三層頭的更改：
發送MAC  改爲 PC1的MAC
發送的IP    改爲 網關的IP（關鍵步驟）
目標MAC  改爲 PC2的MAC
目標IP         改爲 PC2的IP
記住：所有更改都是在用十六進制數進行的。
如192.168.0.44改爲十六進制爲  c0 a8 00 2c

第五步，選擇“連續不斷地”，點“確實”就可以實現發送了！

3）實驗現象：

最好就在測試試的PC2機子上裝上360，這樣效果就更明顯！
如下圖：

 
***成功！！！