ARP攻击与欺骗及防御 和 ettercap工具的使用

最新推荐文章于 2024-02-27 11:20:36 发布
最新推荐文章于 2024-02-27 11:20:36 发布
阅读量798 收藏 10
点赞数 5
分类专栏: kali工具使用 文章标签: linux 网络 网络安全 测试工具 网络攻击模型
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/H_zcn/article/details/134360774
版权

1.ARP协议介绍

ARP全称是“Address Resolution Protocol”(地址解析协议),ARP作用于以太网的环境之中,以太网环境之中数据的传输依赖的是MAC地址并不是我们所熟悉的IP地址,每个电脑都有一个IP地址记以及一个MAC地址(全球唯一),二者缺一不可,将我们所知道熟悉的IP地址转换为MAC地址就是ARP协议的工作。

2.ARP协议原理

查询目的主机的MAC地址步骤

1.ARP进程在本局域网上广播发送一个ARP请求分组。
2.在本局域网上的所以主机运行的ARP进程都收到该ARP请求分组。
在这里插入图片描述
3.主机B的IP地址与ARP请求分组中要查询的IP地址一致,就收下ARP请求分组,并单播向主机A发送ARP响应分组。
4.主机A收到主机B的ARP相应分组以后,就在其ARP高速缓存中写入主机B的IP地址到硬件地址的映射。
在这里插入图片描述
在windows系统中,我们可以通过 arp -a 来查看arp缓存表信息。
在这里插入图片描述
当本网段新连入一台设备,并且与本主机产生通信后,arp表将会更新。
基本介绍了一下ARP协议的工作机制,下面就开始讲如何进行ARP攻击。

3.ARP攻击

ARP攻击原理

ARP攻击就是通过伪造IP地址和MAC地址的对应关系,使得网络无法正常通信,ARP攻击原理下图所示:
在这里插入图片描述

ARP欺骗方式

1.伪装成网关

欺骗原把自己(或者其他非网关主机)伪装成网关,向局域网内的目标主机发送ARP应答报文,由于ARP协议只要我们发送的IP地址是正确的,局域网内的主机就会相信我们发送的MAC地址就是网关的MAC地址,使得局域网内的主机误以为欺骗源的MAC地址是网关的MAC地址,并将原本应该流向网关的数据都发送到欺骗源。由于ARP遵循后到优先原则,所以只要我们持续的发送ARP欺骗包,就一定能够覆盖正常的应答报文,达到欺骗的目的。

2.伪装成主机

欺骗源2把自己伪装成局域网内的另一台主机3,将主机3的IP地址对应的MAC地址替换为欺骗源C的IP地址对应的MAC地址,使得局域网内的主机1发往主机3的报文都流向主机2该欺骗过程如图所示:
在这里插入图片描述
因为我们向PC1和PC3发送的IP地址是真正PC3和PC1的IP地址,所以他们都会相信我们所发送的MAC地址,这种情况下原本PC1发送给PC3或者PC3发送给PC1的流量都会经过我们的PC2,这样就达成了ARP的欺骗。

4.ettercap工具介绍及其使用

Ettercap是一款专业的中间人攻击工具。其利用ARP的缺陷进行攻击,在目标主机与服务器之间充当中间人,嗅探两者之间的数据流量,从中窃取目标主机的数据资料。该工具有窗口操作和文本两种模式。

窗口模式
ettercap -G 以root权限启动启动命令

┌──(root㉿kali2023)-[~]
└─# ettercap -G

ettercap 0.8.3.1 copyright 2001-2020 Ettercap Development Team

在这里插入图片描述
进来之后就是应该默认配置的页面,Primary interface是设置默认网卡的地方,应为我这里是使用的kali来进行的实验,所以默认的网卡是eth0,点击 √ 就开始主机发现。

这里我们用的攻击机是kali2023,靶机是win7的,IP配置如下:
在这里插入图片描述

在这里插入图片描述

在这里插入图片描述
当主机扫描完成后,我们点击放大镜右边的那个图标,列出扫描到的主机
在这里插入图片描述
在这个发现的主机列表中就可以看到我们的两台靶机
192.168.5.129 和 192.168.5.130,我们今天的目标是欺骗130让它认为我们是129,实际上我们是131,让129和130在连接的时候抓他们之间的数据包。

首先我们先选择这个130,然后把它添加到target 1,将129,把它添加到target 2,这里的顺序是无所谓的。
在这里插入图片描述
添加成功的话下面也会有提示的,然后我们点击右上角的地球图标,选择我们的ARP中间人攻击。
在这里插入图片描述
在这里插入图片描述
这里会出现两选项,一个双向欺骗,一个单向欺骗,
双向欺骗就是主机和网关一起欺骗,而单向欺骗就只是欺骗其中一个,因为我们这里还要做转发的功能所以这里就使用双向欺骗,选择好了以后我们直接开始。

然后我们在kali上开启监听eth0网卡

┌──(root㉿kali2023)-[~]
└─# dsniff            
dsniff: listening on eth0

开启以后我们随便选择一台(这里使用129)靶机向另一台靶机(130),使用telnet服务进行连接。

在这里插入图片描述
在这里插入图片描述
这里要输入用户名和密码时,我们随便输入点东西。
在这里插入图片描述
然后我们就可以看到刚刚开启监听的eth0网卡有数据了,数据和我们刚刚随便输入的一模一样,同理用130来连接129的步骤也是一样的。
在这里插入图片描述
这样我们的一个ARP中间人攻击就完成了。

5.ARP防御措施

1.动态ARP检测

1.交换机记录每个接口对应的IP地址和MAC,生成DAI检测表。
2.交换机检测每个接口发送过来的ARP回应包,根据DAI表判新是否违规,若违规丢弃此数据包并对接口进行惩罚。

2.静态ARP绑定

防御ARP攻击和ARP欺骗最直接的方式是进行IP-MAC地址绑定。用户通过在主机和网关(路由器)上实现双向IP地址和MAC地址绑定,即可提高其网络的安全性。

3.利用Arpspoof和Arposion等工具

原理是向网关更快地发送正确的MAC地址,只要用户给网关发送正确的ARP包的速度比攻击者发送ARP包的速度快就不会影响与网关的通信。这样就实现了ARP防御。

4.安装ARP防火墙

如今大部分安全辅助软件均内置了ARP防火墙功能,如360安全卫士、火绒、金山卫士等。这些软件通过在终端计算机上对网关进行绑定,以保证终端计算机不受网络中假网关的影响,从而保护其数据不被窃取。

H_zcnwa
关注
  • 5
    点赞
  • 10
    收藏
    觉得还不错? 一键收藏
  • 打赏
    打赏
  • 0
    评论
专栏目录
ARP 攻击神器:ARP Spoof 保姆级教程
Flag少侠的博客
04-24 2897
arpspoof是一种网络工具,用于进行ARP欺骗攻击。它允许攻击者伪造网络设备的MAC地址,以欺骗其他设备,并截获其通信。arpspoof工具通常用于网络渗透测试和安全评估,以测试网络的安全性和漏洞。以下是arpspoof工具的一些特点和用法:1. 支持ARP欺骗攻击arpspoof工具可以伪造ARP响应,欺骗目标设备将其通信流量发送到攻击者的设备上,从而截获通信数据。
火绒日志提示被局域网爆破攻击怎么找出攻击程序?
最新发布
weixin_68778384的博客
05-28 809
请注意,处理网络安全事件需要谨慎和专业知识。如果您不确定如何处理,最好不要尝试自行解决,而是寻求专业人士的帮助。同时,加强网络安全意识,定期更新安全软件,保持警惕,是防止此类攻击的重要措施。火绒日志提示被局域网爆破攻击,这通常意味着您的网络可能正在遭受某种形式的恶意扫描或尝试破解。
ARP欺骗原理及实现
Naive的博客
04-06 7030
ARP 协议的缺陷在于缺乏验证机制。当主机接收到 ARP 数据包时,不会进行任何认证就刷新自己的 ARP 高速缓存。利用这一点可以实现 ARP 欺骗,造成 ARP 缓存中毒。所谓 ARP 缓存中毒,就是主机将错误的IP地址和MAC地址的映射信息记录在自己的ARP高速缓存中
网络安全实验之《ARP欺骗攻击》实验报告
热门推荐
7xun's space
04-16 1万+
从上图可以看到第33行,Kali向网关询问192.168.161.134 Win7的MAC地址,因为之前的攻击更改了网关的ARP缓存表,所以网关将Kali的MAC地址当做Win7的MAC地址进行发送。同时,在进行实验的过程中,我也遇到了许多问题,在解决这些问题的过程中,我也收获了许多,学习到了很多。通过本次实验,我对ARP协议以及ARP报文的结构有了进一步的了解,掌握了ARP欺骗攻击的原理以及ARP欺骗攻击工具使用,同时尝试了自己编写脚本来实现ARP欺骗攻击。(6)查看被arp投毒后的靶机arp信息。
ARP攻击与检测
sunqizheng1253的博客
02-27 1256
配置静态ARP表:在计算机上配置静态ARP表,将正确的IP地址和MAC地址对应关系手动添加到表中。这样即使在网络中存在ARP欺骗攻击,计算机也能够使用静态配置的ARP表进行通信,避免被ARP欺骗所影响。使用ARP防火墙:安装ARP防火墙软件并开启防御功能,可以实时监测网络中的ARP数据包,及时发现并拦截ARP攻击攻击者往往会利用系统和软件的漏洞进行攻击,因此及时更新系统和软件是防范ARP攻击的重要措施之一。使用ARP防火墙类软件:这类软件可以实时监测网络中的ARP数据包,及时发现并拦截ARP攻击
ARP欺骗使用工具arpspoof、driftnet和ettercap
Zeker62的博客
07-21 7712
作为一个小白,下午两点钟去听了一个网络公开课,了解了一下两个工具使用,他也给我复习了一下arp欺骗ARP欺骗俗称ARP中间人攻击 防范方法 简而言之,就是骗取受害主机误认为是网关,然后把流量数据发给攻击方,攻击方可以截获流量数据。 攻击条件: 攻击方要知道被攻击方的IP地址,以及被攻击方的网关地址 攻击方和被攻击方处于同一局域网下 开始一定要设置一下路由转发 echo 1 > /proc/sys/net/ipv4/ip_forward 这个是表示数据包能否转发,这个都不开,那直接白给
ensp加kali实现arp欺骗攻击
04-21
本文将深入探讨如何使用Kali Linux这一专业安全操作系统,配合ENSPI(Ethernet Network Simulation Platform,以太网网络模拟平台)来实现ARP欺骗攻击,并了解这种攻击可能导致的后果。 首先,我们需要理解ARP的...
arp欺骗原理实验
05-06
4. **实施ARP欺骗**:实验可能涉及使用各种工具,如ettercaparpspoof等,这些工具可以自动化发送欺骗ARP包,使目标主机误认为攻击者的MAC地址是某个特定IP的正确MAC。 5. **检测和防护**:防止ARP欺骗的方法包括...
ARP渗透与防御课程视频教程.zip
10-16
网盘文件永久链接 1-ARP原理 2-ARP断网攻击 3-ARP流量分析 4-ARP-wireshark获取用户数据 5-ARP-Ettercap-截获流量信息 6-ARP网速限制 7-ARP-DNS欺骗 8-ARP防御
ARP欺骗的原理与模拟
06-07
2. 使用ARP欺骗工具,如arpspoof或ettercap攻击者向目标设备发送伪造的ARP响应,将自己声明为网关。 3. 目标设备接收并信任这些响应,更新其ARP缓存,误认为攻击者是网关。 4. 之后,目标设备的所有出站数据包都...
局域网ARP 检测小工具
08-02
ARP检测小工具 ARP检测小工具自己用的 拿来共享
动态ARP检测原理及应用.doc
07-18
动态ARP检测原理及应用.doc c
H3C动态ARP检测功能配置
12-18
H3C DAI(动态APR监测)是一项用于防止IP欺骗,防止非法手设静态IP。本文档详细介绍了H3C交换机相关配置方法。
局域网ARP攻击防范措施与解决方案1参考.pdf
02-25
3. **利用相关软件工具**:如Arp-Spoofer、ettercap工具,可以帮助攻击者轻松实现ARP欺骗。 ### ARP协议存在的漏洞及ARP欺骗 ARP协议的漏洞主要体现在以下几个方面: 1. **无认证机制**:ARP协议本身不包含任何...
Dynamic ARP Inspection(动态ARP检测)功能,简称DAI
qq_42342531的博客
01-06 8306
Dynamic ARP Inspection简介: Dynamic ARP Inspection(动态ARP检测)功能,简称DAI功能。通过检查ARP(Address Resolution Protocol,地址解析协议)报文的合法性,发现并防止ARP欺骗攻击,增强网络安全性。DAI功能主要分为以下两类: 1.端口DAI功能:对指定端口接收到的ARP报文进行合法性检测,便于发现并防止ARP欺骗...
动态ARP检测原理及应用
正月十六工作室
06-25 8504
动态ARP检测原理及应用 在一个局域网中,网络安全可以通过多种方式来实现,而采取DHCP snooping(DHCP防护)及DAI检测(ARP防护)这种技术,保护接入交换机的每个端口,可以让网络更加安全,更加稳定,尽可能的减小中毒范围,不因病毒或木马导致全网的瘫痪。 下面将详细的对这种技术的原理和应用做出解释。 一、 相关原理及作用 1、 DHCP snooping原理 DHCP Snooping技术是DHCP安全特性,通过建立和维护DHCP Snooping绑定表过滤不可信任的DHCP信息,这些信息是指来
如何发动一次ARP欺骗攻击
qq_61975388的博客
09-01 2743
ARP欺骗攻击获取对方FTP登录的账号密码
arp和dns欺骗etc/ettercap/etter.dns怎么配置
05-23
Ettercap可以通过欺骗ARP和DNS来进行中间人攻击。下面是一个简单的配置示例: 1. 欺骗ARP 首先,需要在ettercap配置文件中启用ARP欺骗。打开/etc/ettercap/etter.conf文件,找到以下行: # if you use iptables: redir_command_on = "iptables -t nat -A PREROUTING -i %iface -p tcp --dport %port -j REDIRECT --to-port %rport" redir_command_off = "iptables -t nat -D PREROUTING -i %iface -p tcp --dport %port -j REDIRECT --to-port %rport" 取消注释并将其更改为: # if you use iptables: redir_command_on = "iptables -t nat -A PREROUTING -i %iface -j REDIRECT" redir_command_off = "iptables -t nat -D PREROUTING -i %iface -j REDIRECT" 这将启用IPTables规则以将所有流量重定向到ettercap。 2. 欺骗DNS 接下来,需要配置ettercap欺骗DNS。打开/etc/ettercap/etter.dns文件,将以下内容添加到文件底部: *.example.com A 192.168.1.100 *.example.net A 192.168.1.100 这将将所有.example.com和.example.net域名解析到192.168.1.100地址。 3. 启动ettercap 现在可以启动ettercap了。打开终端并输入以下命令: sudo ettercap -Tq -M arp:remote -P dns_spoof //// 这将使用ARP欺骗和DNS欺骗启动ettercap。 请注意,中间人攻击是非法的,在未经授权的情况下进行可能会导致严重后果。在进行此操作之前,请确保您了解有关此类攻击的法律和道德问题。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

H_zcnwa

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值