一、什么是ARP协议?
地址解析协议(Address Resolution Protocol),是根据IP地址获取物理地址的一个TCP/IP 协议。ARP协议是TCP/IP协议族中的一个协议,用于将32位IP地址转换为MAC地址,这些地 址表示数据链路层(OSI第二层)上用于通信的单个设备的地址。
二、ARP的分类都有什么?
ARP共分为:正向ARP、反向ARP、免费ARP
正向ARP:通过IP地址获取到MAC地址的过程。
反向ARP:通过MAC地址获取IP地址的过程。
免费ARP:检测IP地址是否发生冲突。
三、什么是ARP欺骗?
ARP欺骗的运作原理是由攻击者发送假的ARP数据包到网关上。其目的是要让假的ARP数据 包送至特定的IP地址的流量被错误送到攻击者所取代的地方。因此攻击者可将这些流量另行 转送到真正的网关或是篡改后再转送(中间人攻击)。攻击者亦可将ARP数据包导到不存在的 MAC地址 从而达到阻断服务攻击的效果。
四、ARP欺骗的工作原理
我们假设有两台主机A和B
主机A向主机B发送request请求包询问B的MAC地址,然后hacker(攻击者)冒充主机B向主机A 发送ARP reply给主机A。(主机A误以为是主机B的事实上是hacker攻击者的MAC地址)之后主 机A发送的所有正常的数据包都会发送给hacker。
五、实验环境
系统环境:kail Linux(IP 地址:192.168.80.131)
window10 操作系统(IP 地址:192.168.80.133;网关:192.168.80.2)
实验工具:Arpspoof Wireshark
六、实验步骤
1、先使用ifconfig查询kail IP地址,再使用ipconfig查看靶机IP地址(win 10)
我们可以看到网卡为eth0,IP地址为:192.168.80.131,MAC地址为:00:0c:29:18:10:c1
2.使用route -n命令得到靶机所在的网关,并检测网络的连通性piwww.baidu.com
route -n
我们可以看到靶机所在的网关为192.168.80.2
此时我们可以看到连通性正常,可以直接ping通baidu域名
3、在进行ARP欺骗之前先进行打开ARP流量转发功能
echo 1>/proc/sys/net/ipv4/ip_forward如果把1改为0,则为关闭,靶机的数据包发不出去,则会使靶机断网。
4、使用Arpspoof工具进行攻击
arpspoof的命令格式为:arpspoof -i 网卡 -t 目标ip 网关
输入命令:arpspoof -i eth0 -t 192.168.80.133 192.168.80.2
此时ARP攻击已经开始进行,我们使用靶机ping www.baidu.com查看连通性
我们可以看到此时无法ping通baidu的域名
5、加下来开启ARP转发命令、进行ARP欺骗
此时我们可以看到靶机win10的MAC地址为:00:0c:29:18:10:c1
kail linux攻击机的MAC地址也为:00:0c:29:18:10:c1
说明此时ARP欺骗成功
6、使用Wireshark进行抓包
7、用靶机登录××网,进入登录界面登录,随便输入。
8、此时打开wireshark ,看看在主机(kali)是否能抓取靶机输入的账号和密码。
可以看到刚才登录的账号是:13100436564 密码是:12121212
七、ARP欺骗的防御措施
- 使用ARP防火墙:部署ARP防火墙来监控和检测网络中的ARP流量,及时发现并阻止异常ARP请求和响应。
- 使用ARP安全协议:采用ARP安全协议,例如ARP安全(ARP Sec)或静态ARP检测(Static ARP Inspection),对网络中的ARP请求和响应进行验证和保护。
- 实施网络隔离:将网络划分为多个虚拟局域网(VLAN),并在不同的VLAN间限制通信,以防止ARP欺骗攻击在不同网络间传播。
- 启用端口安全特性:在交换机上启用端口安全特性,限制每个接口上连接的最大MAC地址数量,以防止攻击者通过连接多个设备进行ARP欺骗。
- 使用网络入侵检测系统(IDS):通过部署IDS,对网络通信进行实时监控和分析,及时发现和阻止ARP欺骗攻击。
1万+
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
