ARP欺骗原理
每一台主机中都会有一个ARP缓存表,在缓存表中记录了IP地址与MAC地址的对应关系。当有一个网络数据包需要进行传输的时候,它会先根据目标主机的IP地址去查询本地ARP缓存表,查找与之对应的MAC地址,如果存在就用该MAC地址封装数据包之后再封装到以太网帧中进行传输,如果不存在那么它就会发送一个ARP广播包,来查问哪一个主机的IP地址是我需要的IP地址请与我联系,并发送MAC地址给我。在这一系列的过程中就有可能出现冒充,达到ARP欺骗!
ARP欺骗的种类
ARP欺骗的种类可以分为三类
- 攻击者冒充网关————欺骗目标主机(单向欺骗)
- 攻击者冒充主机————欺骗目标网关(单向欺骗)
- 攻击者冒充网关与主机————中间人攻击(双向欺骗)
ARP欺骗与ARP断网的区别
ARP欺骗:目标主机的IP流量经过攻击者的网卡,并且从网关出去。
ARP断网:目标主机的IP流量经过攻击者的网卡,并且不从网关出去。
ARP欺骗实战
确定目标
相关主机信息
目标主机:ubuntu 16.04 192.168.11.158
攻击主机: kali 2018 192.168.11.144
开启IP转发
注:如果此处不开启端口转发,则目标主机在欺骗之后会断网,被对方察觉。
ARP欺骗
目标主机情况
可以正常ping Baidu
可以访问网络:
arp缓存信息
附加部分:driftnet截获目标主机浏览图片信息
原理:
driftnet ——————》获取本机网卡的图片
通信方式:目标————》本地网卡————》网关
网卡中的图片信息
实战
之后在目标主机中浏览网页
之后可以看到截获的图片(这里由于较为耗时,所以就没有过多的去处理了)
至此一个ARP欺骗演示实现(APR缓存信息成功修改,并且使用ARP欺骗获取了目标主机的行为信息)