ARP欺骗(ARP spoofing)网络攻击实验

已于 2023-12-12 00:30:18 修改
阅读量6.9k 收藏 154
点赞数 63
分类专栏: 漏洞复现 文章标签: 网络 安全
于 2023-12-11 23:35:31 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/2301_79215224/article/details/134938245
版权
本文详细解释了ARP欺骗的原理,涉及正常工作流程和攻击步骤,并展示了如何在Windows和Linux环境中利用arpspoof进行攻击。重点介绍了arp-scan工具的作用和arpspoof在欺骗中的应用,提醒读者此类技术主要用于教育和研究,非授权使用需承担法律责任。

摘要生成于 C知道 ,由 DeepSeek-R1 满血版支持, 前往体验 >

ARP欺骗的原理

ARP欺骗的原理基于地址解析协议(ARP)的工作方式。在TCP/IP网络中,当一个设备需要与另一个设备通信时,它首先需要知道对方的物理(MAC)地址。ARP协议通过将IP地址映射到MAC地址来解决这个问题。

以下是ARP欺骗的基本步骤:

    正常工作流程:

  1. 设备A想要发送数据给设备B,但它只知道设备B的IP地址。
  2. 设备A广播一个ARP请求,询问:“谁拥有这个IP地址(设备B的IP地址)?请告诉我你的MAC地址。 
  3. 设备B收到请求后,回应自己的MAC地址。
  4. 设备A记录下设备B的MAC地址,并将其用于后续的数据包传输。

    ARP欺骗攻击:
       1. 攻击者C监听网络上的ARP流量。


      2.  当设备A发出ARP请求时,攻击者C也发送一个ARP响应,声称自己是设备B(使用设备B的IP地址,但提供的是攻击者C的MAC地址)。


        3.设备A接收到两个响应:一个是真正的设备B的响应,另一个是攻击者C的伪造响应。


       4. 根据ARP协议的规定,设备A信任最近的ARP响应,所以它更新了自己的ARP缓存,将设备B的IP地址映射到了攻击者C的MAC地址上。


       5. 现在,设备A会将所有原本应该发往设备B的数据包发送给攻击者C。攻击者C可以读取、修改或丢弃这些数据包,然后再转发给设备B,从而实现中间人攻击。

ARP欺骗成功的关键在于,ARP协议没有内置的安全机制来验证响应的真实性。因此,网络中的任何设备都可以宣称自己拥有某个IP地址,只要它愿意发送相应的ARP响应即可。

攻击复现

攻击机:VMware16-Kali   IP地址:192.168.44.134

靶机:VMware16-Windows10x64    IP地址:192.168.44.135

1.在Windows 10上查看默认网关和IP地址。

ipconfig /all

IP:192.168.44.134  默认网关:192.168.44.2

2.查看MAC和IP映射表

arp -a

 3.Kali查询是否与靶机处在同一网段

sudo arp-scan 192.168.44.1-192.168.44.254

确认在同一网段

4.攻击机伪装成靶机网关

sudo arpspoof -i eth0 -t 192.168.44.134 192.168.44.2

sudo: 这是一个Unix和类Unix操作系统中的命令,允许用户以超级用户(root)权限运行后面的命令。在这里,我们需要使用超级用户权限是因为修改网络设备的ARP缓存通常需要这样的权限。

    arpspoof: 这是ARP欺骗工具的名称,它会发送虚假的ARP应答来毒化目标主机的ARP缓存。

    -i eth0: 这个选项指定了要使用的网络接口。在这个例子中,eth0代表了第一个以太网接口。你需要确保你选择的是正确的目标网络接口。

    -t 192.168.44.134: 这个选项指定要欺骗的目标主机的IP地址。在本例中,攻击者试图让IP地址为192.168.44.134的主机误认为攻击者的机器是其默认网关。

    192.168.44.2: 这是第二个参数,表示攻击者想要将自己伪装成的IP地址。在本例中,攻击者希望被192.168.44.134视为其默认网关的地址。

5.查看靶机的网关的MAC地址是否发生变化

6. 攻击者欺骗靶机,告诉靶机出口路由器是他的MAC地址,靶机信任了攻击机,把访问外部网络的数据包错误的发送给了攻击机的MAC地址,导致靶机收不到外网返回的数据包,导致网络中断。

Tips:

Arp-scan是一款用于扫描局域网中活动主机的命令行工具。它通过发送ARP(地址解析协议)请求并监听响应来确定网络中的活动设备。ARP是一种在TCP/IP网络中用来映射IP地址到MAC地址的协议。

arp-scan可以帮助网络管理员快速识别和定位网络中的设备,以便进行网络管理或安全审计。它可以进行单一目标扫描,也可以进行批量扫描,允许用户指定CIDR地址范围或者使用列表文件的方式进行扫描。

一些主要的arp-scan功能包括:

    扫描特定的IP地址或地址范围
    显示已发现设备的IP地址和MAC地址
    自定义ARP包的发送速率
    支持IPv6网络

arp-scan通常被包含在Kali Linux等渗透测试和网络安全相关的Linux发行版中,但也可能需要在其他系统上手动安装。

要使用arp-scan,你需要具有管理员权限,并且知道你想要扫描的网络接口。

Arpspoof是用于执行ARP(地址解析协议)欺骗的工具,通常在网络安全测试和渗透测试中使用。ARP欺骗是一种攻击技术,通过它攻击者可以修改网络中设备的ARP缓存条目,使流量被重定向到攻击者的机器而不是其原本的目的地。

当arpspoof成功运行时,它可以做到以下几点:

    毒化目标主机的ARP缓存:攻击者发送虚假的ARP应答消息给目标主机,将网关的IP地址映射到攻击者的MAC地址上。这样,目标主机误以为攻击者的机器就是网关。
    截获数据包:由于目标主机现在认为攻击者的机器是网关,所有发往或来自目标主机的数据包都会经过攻击者的机器,从而让攻击者有机会查看、篡改或者嗅探这些数据包中的敏感信息,如账户凭据、通信内容等。
    保持欺骗状态:为了维持欺骗状态,arpspoof需要不断发送ARP应答来刷新目标主机的ARP缓存,使其一直认为攻击者的MAC地址是网关的MAC地址。

arpspoof主要用在Linux系统上,常常作为Kali Linux等渗透测试发行版的一部分提供。要使用arpspoof,你需要具有管理员权限,并且了解基本的网络知识,包括IP地址、子网掩码、MAC地址以及如何指定网络接口。

法律声明

声明:

请注意,本文档包含有关已知漏洞的描述和复现方法。这些信息仅用于教育和研究目的,不得用于任何未经授权的活动。

本声明如下:

    本人对使用本文档中的信息所产生的任何后果概不负责。任何人使用本文档中的信息应自行承担所有风险。

    本文档中的信息不得用于未经授权的任何活动,包括但不限于未经授权的攻击行为。任何使用本文档中的信息进行未经授权的活动将违反法律,并可能导致法律后果。

    本文档中的信息仅为教育和研究目的而提供,并且可能包含机密和保密信息。阅读和使用本文档的信息应遵守适用的法律和法规。

    请遵守道德原则并报告您发现的任何漏洞给相关方,以促进软件和系统的安全。

    请注意,本文档中的信息可能已过时,因为软件和系统可能已经修复了相关漏洞。

特此声明。
 

ARP欺骗工具arpspoof的用法
who_im_i的博客
09-11 3万+
这里写自定义目录标题欢迎使用Markdown编辑器新的改变功能快捷键合理的创建标题,有助于目录的生成如何改变文本的样式插入链接与图片如何插入一段漂亮的代码片生成一个适合你的列表创建一个表格设定内容居中、居左、居右SmartyPants创建一个自定义列表如何创建一个注脚注释也是必不可少的KaTeX数学公式新的甘特图功能,丰富你的文章UML 图表FLowchart流程图导出与导入导出导入 欢迎使用Markdown编辑器 你好! 这是你第一次使用 Markdown编辑器 所展示的欢迎页。如果你想学习如何使用Mar
ARP欺骗实验
programmer9的博客
10-27 5225
总目标 写一个抓包工具 小实验2.ARP欺骗实验 1.实验ARP欺骗之send_arp 2. 实验平台:Linux (RedHat5) 3.实验目的:通过对send_arp程序的使用,了解ARP包的基本构造,以及局域网中ARP病毒的原理。 4.预期结果:通过使用send_arp程序,更改被“骗”主机的ARP表,以达到欺骗目的。 5.实验步骤: 1、在虚拟机中创建三个Linux系统,分别为A、B、...
网络安全实验之《ARP欺骗攻击》实验报告_arp欺骗实验
HUANGXIN9898的博客
01-07 1238
(1)课上实验ARP欺骗攻击工具实验):运行WinArpAttacker或Ettercap(二选一),通过WireShark等抓包工具,捕获ARP欺骗攻击的数据包,分析ARP攻击的原理。(2)课后实验ARP欺骗攻击编程实验):基于Winpcap(或其它网络开发包Libpcap/Jpcap/Scapy等)编写程序,对指定的目标IP地址进行ARP欺骗攻击。1.攻击主机:Kali-linux。2.靶机:Windows 7。3.软件:Ettercap、Wireshark、Scapy网络开发包。
网络安全实验】拒绝服务攻击
m0_72892640的博客
03-25 1085
当用户访问该域名时,就会被重定向到错误的服务器,无法获取正常的服务。原是一段C程序,其功能是向受害者发送TCP SYN包,而这些包的源IP地址和目的IP地址被伪造成受害者的IP地址,源端口和目的端口也是相同的(端口必须是激活的),目标系统在收到这样的包以后可能会挂起、崩溃或重启。拒绝服务攻击(Denial of Service,DoS):通过向目标系统发送大量的请求或数据,耗尽其资源,如 CPU、内存、网络带宽等,导致系统无法及时处理合法用户的请求,从而使服务中断或变得不可用。
【CTF Web】XCTF GFSJ0485 simple_php Writeup(代码审计+GET请求+PHP弱类型漏洞)
HEX9CF的技术博客
05-06 570
小宁听说php是最好的语言,于是她简单学习之后写了几行php代码。
仅需4步,使用arpspoof实现断网攻击(By:Kali与编程)
Kali与编程
12-29 308
小白学习渗透测试时,了解ARP欺骗是为了掌握如何在合法授权的环境中检测和防御网络攻击。通过arpspoof,可以模拟中间人攻击,误导同一网络中的设备将数据发送给攻击者而不是真正的目标设备,这可能导致断网或敏感信息泄露。学习这项技能有助于理解网络漏洞,并采取措施加强安全防护。但必须强调,此类技术只能用于测试和保护自己的网络,任何未经授权的使用都是违法且不道德的。KALI系统(ISO版)KALI系统(VMX版)
ARP欺骗攻击实验
2302_81105681的博客
04-11 2501
PC1接收到PC2的ARP回复包,先解封装,查看数据链路层,发现目标MAC地址是自己,继续解封装,查看ARP部分的sender IP和sender MAC。PC2收到ARP请求包,解封装,先看数据链路层的目标MAC地址,发现是广播地址,继续解封装,到ARP部分,查看内容。误导client以为这是server发送的回应包,并将kali的mac地址记为是server的mac地址。交换机收到ARP请求包 ----- 解封装数据链路层 学习MAC地址 写入自己的mac地址表。MAC地址 61-1B。
ARP欺骗攻击实际操作实验
m0_51498031的博客
04-22 5101
注:本实验是在封闭环境下自己测试,不做他用。 我选择的封闭环境为两台虚拟机,分别搭载了Windows7和kali Linux: 在Windows 7上用cmd指令:arp -a查看网段地址得到本网段是.0.1的地址: 后查找Windows7的IP地址发现 IP地址为192.168.0.91: 将win7的网卡选择为V0网卡,桥接到物理网络上,同时也将kali的网卡选择V0网卡,也桥接到同一物理网络上。检测两者是否可以ping通以及Windows7此时是否可以正常上网。
arp欺骗实验
xiaoantongxueqaq的博客
04-29 3891
arp欺骗原理: 当PC1 与PC2通信时,会查询arp缓存表,在没有通信之前arp缓存表是空的,这时PC1没有发往PC2的MAC地址,无法封装数据包进行发送数据,就需要先发送广播的arp请求来获取PC2的MAC地址,当其他PC机收到PC1的ARP请求,便会判断PC1广播来的ARP请求中的目的IP是不是自己的IP,如果是就回应PC1自己的MAC地址。因为PC1是广播ARP请求,所以同时连入网络的攻击者也可以收到arp请求,这时攻击者可以仿造PC2回复给PC1的应答报文,从而让PC1认为前往...
arp欺骗原理实验
05-06
arp欺骗实验
ARP欺骗 实验报告
06-09
1、掌握常见ARP欺骗类型和手段 2、掌握ARP协议工作原理和格式 3、掌握防范ARP地址欺骗的方法和措施 4、掌握Sniffer Pro软件的使用
基于WinPcap的ARP欺骗实验
07-19
掌握 WinPcaP 的安装和配置; 掌握 ARP 协议工作原理和格式; 掌握 WinPcap 发包程序的编写; 掌握防范 ARP 地址欺骗的方法和措施; 了解常用抓包软件,Wireshark、Sniffer Pro 等网络包分析软件的使用。
ARP欺骗ARP spoofing网络攻击实验_arpspoof-CSDN博客.mhtml
05-20
ARP欺骗ARP spoofing网络攻击实验_arpspoof-CSDN博客.mhtml
arpSpoofing.rar_arpspoofing_arp网关欺骗
07-13
ARP欺骗,也称为ARP毒化,是一种攻击技术,攻击者通过发送虚假的ARP响应来篡改目标主机的ARP缓存,误导网络流量。 描述中提到,这个项目使用了WinpCap库来开发一个简单的ARP欺骗程序。WinpCap是一个开源的网络封包...
2024年网络安全最新网络-ARP协议详解与ARP欺骗(中毒)攻击实战_arp中毒(1)
2401_84240129的博客
05-02 1452
地址解析协议,即ARP(Address Resolution Protocol),是根据IP地址获取物理地址(MAC地址)的一个协议。划分到网络层(TCP/IP)或数据链路层(OSI),用在局域网内。功能:完成主机或路由器IP地址到MAC地址的映射。ARP高速缓存(arp表):IP地址和MAC地址的映射。注:网络设备的接口有MAC地址,并不是一个网络设备仅有一个MAC地址,二层交换机这种设备没有MAC地址。
ARP.rar_arp_arp 欺骗_arp欺骗_windows socket arp
09-21
ARP欺骗ARP Spoofing)是一种常见的网络安全攻击手段,它利用了ARP协议的信任机制,攻击者向网络中的设备发送虚假的ARP响应,误导目标设备将数据包发送到错误的物理地址,从而实现中间人攻击。 在标题“ARP.rar_...
SDN中的缓解ARP欺骗攻击
02-05
POX SDN控制器上的ARP欺骗缓解模块。 产品特点 防止LAN攻击者以很少的开销中毒节点的缓存表条目。 防止恶意数据包进入网络。 建立 ARPspoofperf.py使用检测模块创建测试设置。 ARPspoofperfwithoutsol.py创建没有...
arp欺骗攻击实验
最新发布
04-03
<think>好的,我现在需要帮助用户了解如何进行ARP欺骗攻击的实验。首先,用户明确提到要在安全测试环境下进行实验,所以必须强调合法性和授权,避免用户误用。接下来,根据用户提供的引用内容,我需要整合这些信息来构建实验步骤和原理的解释。 首先,引用[1]和[2]详细说明了ARP欺骗的原理,包括伪造ARP响应、缓存中毒等步骤。而引用[4]和[5]则提到了具体的工具使用,比如arpspoof和Kali Linux中的工具。用户还提到了实验方法或教程,所以需要一步步的指导。 我需要确保实验环境的安全,比如使用虚拟机或封闭网络,防止影响真实网络。然后,列出所需的工具,如Kali Linux(内置arpspoof、dsniff等)、目标设备和网络设备。接下来,分步骤说明如何配置环境、启用IP转发、使用arpspoof发送伪造的ARP响应,以及如何验证攻击是否成功,比如检查ARP缓存表的变化,引用[3]中的命令ip -all netns exec arp -n可以用来查看ARP缓存。 同时,用户可能需要了解如何防御这种攻击,所以补充防御措施也是必要的,比如静态ARP绑定或使用ARP防护工具。此外,引用[2]提到的中间人攻击和数据截获可以进一步扩展,说明攻击后的数据监控方法,比如使用Wireshark进行流量分析。 需要确保步骤清晰,每个部分都对应到引用的内容,比如在步骤3中详细说明arpspoof的命令参数,引用[4]解释了sudo、-i、-t等参数的意义。在验证步骤中,引用[3]和[5]提供了查看ARP缓存和网关欺骗成功的例子。 最后,生成相关问题时要覆盖原理、工具、防御和实际应用,帮助用户全面理解ARP欺骗攻击的实验过程和相关知识。</think>### ARP欺骗攻击实验方法 #### 实验环境要求 1. **合法授权**:必须在隔离的实验室或虚拟网络(如VMware/VirtualBox搭建的局域网)中实施[^1] 2. **测试工具**:Kali Linux(含arpspoof/dsniff工具包)、至少两台虚拟机(攻击机+靶机) 3. **网络配置**:所有设备需处于同一局域网段(如192.168.1.0/24) #### 实验原理 通过发送伪造的ARP响应包,使目标设备将攻击机的MAC地址与网关IP绑定,实现流量劫持[^2]。核心公式描述: $$ \text{伪造ARP报文} = \text{目标IP} \xrightarrow{\text{映射}} \text{攻击者MAC} $$ #### 实验步骤 1. **环境准备** - 关闭防火墙:`sudo systemctl stop firewalld`(Linux靶机) - 确认IP-MAC对应关系:`arp -a` 2. **启用IP转发(攻击机)** ```bash echo 1 > /proc/sys/net/ipv4/ip_forward # 防止网络中断引起怀疑[^5] ``` 3. **实施ARP欺骗** ```bash sudo arpspoof -i eth0 -t 192.168.1.100 192.168.1.1 # 欺骗靶机[^4] sudo arpspoof -i eth0 -t 192.168.1.1 192.168.1.100 # 双向欺骗网关 ``` 4. **验证攻击效果** ```bash # 在靶机执行(Windows:arp -a,Linux:arp -n) ns531> arp -n | grep 192.168.1.1 # 应显示攻击机MAC地址[^3] ``` 5. **流量监控(可选)** ```bash sudo tcpdump -i eth0 host 192.168.1.100 # 查看明文流量 driftnet -i eth0 # 可视化图片捕获 ``` #### 防御措施 - 静态ARP绑定:`arp -s 192.168.1.1 00:11:22:33:44:55` - 网络层防护:启用DHCP Snooping+DAI(动态ARP检测)
评论 4
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值