这种控制权的转移导致任何类型的会话都将被转移。例如，在目标计算机以管理员身份登录
至远程计算机以后，攻击者可以控制一个Telnet会话。
 
ARP 攻击实验方法
 
以下是 Jammu 大学的无线网络实验中进行的实验。选用网络中的 IP 地址
172.18.223.213 和 MAC 地址 00-21-00-59-1E-0F 作为实验节点。默认网关的 IP 地址是
192.170.1.1，其 MAC地址是 00-0D-ED-6C-F9-FF。该实验检查名为SniffLan 的ARP欺骗攻
击，为了将攻击者的MAC 地址与默认网关的IP 地址关联起来，实验中伪造的ARP 数据包都
被广播到局域网内所有计算机的欺骗ARP表中。因此，任何指向网关地址的通信都将被错误
地发送给攻击者。当进行攻击时，网络嗅探活动就可以确保攻击者查看所有目标计算机正在
查看的信息和内容。
a）第一步就是激活攻击者机器上的嗅探程序来捕获所有指向其的通信数据，这样就数
据包内容就会被检查。作者使用开源的数据包分析器 Wireshark（1.2.8 版本）进行分析。
Wireshark捕获网络数据包，并尽可能详细地显示数据包内容。它能够捕捉来自许多不同类
型网络媒体的数据，包括无线局域网，当然这依据设置情况而定。Wireshark安装在被选作
攻击者（172.18.223.213）的节点上。假设其为机器A.
安装 Wireshark
以下是安装Wireshark的步骤：
1）从网址http://www. wireshark.org/download.html下载Wireshark的安装程序包。 
2）在选择面板上选择将要安装的组件。
3）如果 Winpcap没安装的话，在Winpcap的页面中安装Winpcap。
4）点击安装Wireshark。
设置 Wireshark来捕获数据包
以下是使用Wireshark捕捉数据包步骤：
1）正确选择捕获数据包的网络接口。在“捕获”菜单中选择“接口”，以显示接口列表。
2）点击右侧接口上的开始按钮启动捕获操作，或者单击选项进行更多的设置。
3）在捕获过程中，作者使用了图4 显示的设置。
4）点击开始，启动捕获操作。

b）在二个步骤中，为了欺骗所有计算机的ARP表，必须将攻击者MAC 地址和默认网
关的 IP 地址关联起来，这样该网关的任何通信都被错误地发送至攻击者。用于显示并进行
测试操作的工具是 WinArpAttacker（3.50 版本）。WinArpAttacker 能够扫描数据，并显示
局域网上活动主机的程序，同时能够收集局域网上的所有数据包。在机器A上也安装了该工
具。WinArpAttacker基于wpcap工具，因此在 wpcap安装之前，必须安装WinArpAttacker。 
设置 WinArpAttacker
1）运行 WinArpAttacker.exe程序。
2）点击“选项”菜单进行相关配置，如选择网络接口、攻击执行的时间、是否选择自动扫
描、保存 ARP 数据包以便于进一步的分析以及使用代理等等设置。
3）点击扫描按钮，然后选择高级选项。在扫描对话框中对活动主机扫描整个局域网或者选
择一定范围的IP地址进行扫描。作者选择的IP范围172.18.223.0至 172.18.223.254（包
括攻击者主机在内）。由于局域网上攻击行为的危险性，该IP地址范围可以降低对子网节点
的影响。

4）点击 arpattack按钮选择snifflan，同时 ARP欺骗攻击将被启动。
c）现在所有主机之间和和网关间的通信都能被 Wireshark 所捕获。一旦发起攻击，就
会发送 gratuitous ARP应答（gratuitous ARP，用来探测网内是否有机器和自己的ip冲突，
或者用来更新工作站的 arp 缓存）。图 9给出了详细的 ARP 应答报文。尽管没有发送 ARP 请
求，但当接收到ARP 响应时，网络上所有设备都会更新其ARP缓存，即用攻击者的MAC地址
代替网关的MAC 地址。因此发送给网关的通信就会到达攻击者主机。图10 显示 ARP 欺骗攻
击之后，攻击者接收的数据包。
d）分析数据包：一旦捕获通信数据，那么就必须检查数据包内容以查看像密码、编码
之类的信息。右键点击需要被分析的数据包并选择以下 TCP 数据流。图 11 显示了 Jammu 大