什么是IP欺骗?
IP欺骗就是使用其他计算机的IP来骗取连接,获得信息或者得到特权。通俗的说,就是攻击者将一台计算机的IP地址修改为其它主机的地址,以伪装冒充其他机器。
IP欺骗的原理
首先了解一个网络的具体配置及IP分布,然后改变自己的地址,以假冒身份发起与被攻击方的连接。这样做就可以使所有发送的数据包都带有假冒的源地址。 如下图所示:
IP欺骗小例子
如上图所示,我先打开两台虚拟机,一台虚拟机windows2000,伪造的源IP地址和MAC地址均来源于此,一台虚拟机windows2003是攻击目标。至于如何伪造IP地址,我们可以借助工具,比如Xcap,下面会介绍如何使用它。
当我们伪造好之后,就可以向windows2003来发送消息了,不过windows2003会把响应消息发给windows2000,而不是发送消息的本机。
1. 首先,如果我们想伪造一台机器的IP地址和MAC地址,就必须先知道这些信息。而且也要知道攻击目标的IP地址和MAC地址,我们可以借助ping命令来获取。
接下来用arp -a命令查看缓存表,从而得到windows2000和windows2003的MAC地址。
2. 利用Xcap工具伪造源MAC地址(虚拟机windows2000的MAC地址),并给攻击目标发echo request数据包。
3. 在虚拟机windows2003上使用Wireshark抓包,并分析收到数据包的源MAC地址和源IP地址。
通过分析抓到的包可以发现,我们已经伪装成功了,源IP地址和MAC地址都是windows2000的。
4. 相应的,windows2003在接到请求信息后,也会给windows2000发送回应信息,此时我们在windows2000上也进行抓包分析,可以抓到windows2003发给windows2000的回应信息。
利用Xcap伪造IP和MAC地址
1. 打开Xcap工具之后,首先刷新网卡。点击Interface–>Refresh interface。
2. 刷新网卡后,可以看到本机的几个网卡。选择要发包的网口并start。
3. 添加一个packet group。
4. 在packet group中添加一个数据包。
5. 添加一个数据包后,双击就可以修改数据包了,修改数据包的IP地址和MAC地址。
Mac地址填写原则:如果目的ip地址和本地pc的网卡地址在同一个网段,则填写实际的目的主机的mac地址;否则,则添加去往目的IP的网关的mac地址。
6. 修改完成之后,save 并 exit,就可以发包了。
