工具:arping
功能:
通过arping,获得目标主机的网关地址
检测地址冲突,进行arping时,ping一个地址,收到两个不同mac的数据包
原理:
ARP协议解析IP地址到MAC地址的对应关系
arping发送ARP探测数据包
安装:
kali里默认安装的arping是阉割版,只有基本功能,需要手动更新
apt install arping 命令进行更新
用法
-i 指定发送ARP包的网口
-w 指定发包间隔单位是微秒(默认是一秒一个请求)
-W 指定发包间隔单位是秒(默认是一秒一个请求)
-c 指定发包数量
-0 把发包的来源IP变成0.0.0.0
-b 把发包的来源IP变成255.255.255.255(三层交换机默认拒绝接受IP为4个255的数据包)
-s 设定来源的MAC(用于ARP欺骗)
-S 设定来源的IP(用于ARP欺骗)
-P 设定ARPing发送的数据包为reply(默认为request)
-
-
- arp的原则是我给你ruquest包,回应我reply包,并根据reply包的内容进行跟新,如果我直接给你发送reply包,你就根据内容进行更新,不会再发送回包,配合-s,-S 也可以实现ARP欺骗
-
ARP地址欺骗
测试环境
kali机
-
-
- 真实IP:192.168.21.2
- 真实MAC:00:11:22:33:44
-
被攻击机
-
-
- 真实IP:192.168.21.186
- 真实MAC:00:66:77:88:99
-
kali机通过执行arping执行下面命令
arping -s 00:12:34:56:78 -S 192.168.21.2 192.168.21.186
-s修改的mac -S修改IP地址
被攻击机查看本地的arp缓存发现mac变成了新的,原因是被攻击机收到了kali机发送的arp请求,以为192.168.21.2的mac换成了00:12:34:56:78这个,因为这mac本身就不存在和IP也不匹配,导致被攻击机不能进行上网
检测方式
本地ARP欺骗发生时,执行arping 探测IP地址对应的IP,与本地ARP缓存进行比较是否匹配,不匹配说明ARP欺骗正在发生
原因:
因为arping探测不会根据arp缓存进行