一、CainAbel安装

前往Malavida网站下载,点击下方图片前往🔗
image.png
为了防止网站链接消失,这里也放上资源:CainAbel.zip

注意:当你试图去下载这款软件的时候,计算机的杀毒软件或浏览器有可能会把 Cain & Abel 误报为恶意或黑客工具。该工具有多种用途,包括一些可能被认为 是邪恶的。但在这里,这款工具对你的系统没有威胁。

二、关于ARP

2.1 ARP协议

🚜下面看一下数据从第3层网络层到第2层数据链路层的过程:

发起通信的计算机检查自己的ARP缓存,查看是否有对方IP地址对应的MAC地址,这个过程是通过数据链路层的ARP协议实施的。

如果不存在,它将往数据链路层广播地址 FF:FF:FF:FF:FF 发送一个 ARP 广 播请求包,作为一个广播数据包,它会被这个特定的以太网广播域上的每台计 算机接收,这个请求包问道:“某某 IP 地址的 MAC 地址是什么?

没有匹配到目标 IP 地址的计算机会简单地选择丢弃这个请求包。而目标计 算机则选择答复这个数据包,通过 ARP 应答告知它的 MAC 地址。此时,发起 通信的计算机就获取到了数据链路层的寻址信息,便可以利用它与远端计算机 进行通信,同时将这些信息保存在 ARP 缓存中,来加速以后的网络访问。

2.2 ARP 污染

ARP 缓存污染,有时也被称为 ARP 欺骗,是一种在交换网络中监听流量的 高级方法。这种方法通过发送包含虚假 MAC 地址(第二层:数据链路层)的 ARP 消息,来 劫持其他计算机的流量。下图显示了 ARP 缓存污染的具体过程。

举个例子:MAC地址就是身份证号,IP地址就是个人的户口所在地。身份证号永远改不了,户口可以根据需要迁来迁去。
image.png
ARP 缓存污染允许你拦截目标计算机的流量

ARP 缓存污染是一种在交换式网络中进行监听的高级技术。它通常由攻击 者使用,向客户端系统发送虚假地址的数据包,来截获特定的网络流量,或者 对目标进行拒绝服务攻击(DoS)。然而,它也可以是一种在交换式网络中捕获 目标系统数据包的方法。

三、使用ARP缓存污染

在使用 Cain & Abel 软件之前,你需要收集某些信息,包括嗅探分析器系统 的 IP 地址(自己的IP),你所希望嗅探网络流量的远程计算机的 IP 地址(目标计算机IP),以及远程计算机所 连接的上游路由器。

当第一次打开 Cain & Abel 软件时,你会发现在软件窗口的顶端有着一系列 的标签页(ARP 缓存污染攻击只是强大的 Cain & Abel 软件的其中一个功能)。 为了演示例子,我们将切换到“嗅探器”选项页上。当单击此选项卡时,你应 该会看到一个空表,如下图所示。
image.png
要完成此表,你需要激活这款软件的内置嗅探器,扫描你的网络并找出活 跃主机。请按以下步骤进行操作以完成上述目标。

3.1 激活内置嗅探器,扫描网络找出活跃主机

🍡1. 单击工具栏上左起第二个图标,类似网卡形状的那个
image.png

🍡2. 你会被要求选择你希望进行嗅探的网络接口。这个接口应该连接到你 所希望进行 ARP 缓存污染的网络。选择这个网络接口,然后点击 OK 按钮。(要 确保按下这个按钮,以激活 Cain & Abel 软件 内置的嗅探器。)

注意:这个时候可能会出现错误,并提示在系统中输入一下命令netsh int ip set global taskoffload=disable,按照提示进行即可 image.png

🍡3. 要建立在你的网络上可用主机的列表, 单击加号(+)图标。MAC 地址扫描器对话 框将会出现,如下图所示。请选择“All hosts in my subnet”圆形按钮(或者选择特定的地 址范围),单击 OK 继续。
image.png

🍡4. 现在表格中应该填满了你所在网络中的所有主机的信息,包括它们的MAC 地 址、IP 地址和供应商信息等。这是你开始进行ARP 缓存污染的目标主机列表。

🍡5. 在程序窗口的底部,你应该会看到另一组选项卡,选择它们将带你到嗅探器 标题下的其他窗口。现在,你已经创建了主机列表,接下来可以单击 ARP 选项卡切换至 ARP 窗口中。

🍡6. 在 ARP 窗口中,你会看到两个空的表格。当你完成下面的操作步骤之后, 上方的表格中将显示出你的 ARP 缓存污染过程涉及的设备列表,而下方表格则 会显示出在你进行中毒攻击的计算机之间的所有通信内容。

3.2 进行ARP缓存污染攻击

进行 ARP 缓存污染攻击,请按照下列步骤进行操作。

🍡1. 在屏幕上方的空白区域中单击,然后单击程序标准工具栏中的加号(+) 图标。

🍡2. 出现的单窗口中会有两个选择栏。在左侧,你可以看到网络上的所有 活跃主机的列表。单击你希望进行网络流量嗅探的目标系统 IP 地址,右边的选 择栏中将会显示出网络中的所有主机列表,除了你所选择的目标主机 IP 地址。

🍡3. 在右边的选择栏中,单击目标计算机的直接上游路由器(即网关)IP
地址,如图 2-13 所示,然后单击“OK”。这两个设备的 IP 地址现在应该会被显
示在主程序窗口上方的表格中。

🍡4. 完成这个过程的最后一步,单击标准工具栏中黄黑相间的辐射符号, 这个操作将激活 Cain & Abel 软件的ARP 缓存污染功能。让你的嗅探分析器作 为从目标系统到它的上游路由器之间所有通信的中间人。

🍡5. 你现在应该就能启动你的数据包嗅探器,并开始分析过程了。当你完成流量 捕获之后,只需再次单击黄黑相间的辐射图标,便可以停止ARP 缓存污染过程。