ARP欺骗攻击:
原理:攻击者利用主机接收到一个应答包之后,不会验证自己是否发送过对应的arp请求包,也不会验证这个arp请求包是否可信,而是直接用应答包里的IP地址和mac地址的对应关系替换掉arp缓存表里原有的对应关系,来发送一个被修改mac地址的回复包,欺骗主机。
先搭建如上拓扑图
Cloud配置信息如上,并记下vm8的IP地址192.168.37.1
配置serverip,和云处于同一网段下
配置server服务器为ftp服务器并启动
配置clientip地址,和云处于同一网段
配置client客户端信息,服务器地址为serverip地址,并更改用户名和密码
打开kali,右击,点击设置,在网络适配器下更改网络连接为自定义,选择vm8
Eth0网卡所在网段,与client与server在同一网段,同时得知其mac地址
在kali中ping通了client和server,说明在同一网段下
Etho 1开启流量转发,并用cat验证是否开启流量转发,1为开启,0为未开启
输入arpspoof进行ARP欺骗,使用eth0网卡,前ip为欺骗的主机ip,后ip为kali伪装的主机的ip地址
右击交换机,点击数据抓包的0/0/1接口,进行抓包
wireShark抓包,欺骗client,回答192.168.37.20的mac地址是kali自己的mac地址
新开一个kali黑窗,右击黑窗,点launch,打开wireshark
双击eth0
开始抓包,不断登录登出,使得kali获取登录登出的信息
Kali中搜索ftp,缩小搜索范围,成功抓取,现在已经能看到登录登出的信息了
右击信息,follow,进入更为详细的界面
现能看到抓取到的client的用户的登录信息,只有红色的
断网
输入echo 0停止流量转发,cat验证是否为0,0为停止了
开始arp欺骗
已经停止流量转发,Client登不上了
双向欺骗
开启流量转发,并验证是否为1
欺骗client,lali的ip地址假装为192.168.37.20
右键黑窗,开启一个新黑窗,欺骗server
欺骗server,kaliip地址假装为192.168.37.10
在kali开第三个黑窗,输入wireshark
双击eth0,进入抓包页面
在ensp中client中登录登出
在kali wireshark中输入ftp过滤其他多余消息
右击过滤的信息,并点击follow
得到client端登录登出的消息