中间人攻击(ARP)原理和架构

于 2025-07-11 00:01:25 发布
阅读量761 收藏 27
点赞数 27
CC 4.0 BY-SA版权
文章标签: 架构
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/hao_wujing/article/details/149208790

大家读完觉得有帮助记得关注和点赞!!!

中间人攻击(ARP中间人攻击)是一种利用 ARP协议缺陷 实施的网络劫持技术,攻击者通过伪造ARP响应包将自己伪装成通信双方的中转节点,实现全流量窃听/篡改。以下是其深度原理与架构解析:

🔧 一、攻击原理(ARP中间人攻击)

1. 核心三步骤

步骤1:ARP投毒(ARP Spoofing)

  • 欺骗受害者
    攻击者向受害者发送伪造ARP响应:
    “网关IP(如192.168.1.1)的MAC是攻击者MAC(CC:CC:CC:CC:CC:CC)”

  • 欺骗网关
    攻击者向网关发送伪造ARP响应:
    “受害者IP(如192.168.1.100)的MAC是攻击者MAC(CC:CC:CC:CC:CC:CC)”

步骤2:流量劫持

  • 受害者流量
    发往网关的数据包目标MAC变为攻击者MAC → 被攻击者网卡捕获。

  • 网关流量
    返回给受害者的数据包目标MAC变为攻击者MAC → 被攻击者网卡捕获。

步骤3:数据转发(维持隐蔽性)

  • 攻击者启用 IP转发sysctl net.ipv4.ip_forward=1):

    • 将受害者的流量转发给真实网关。

    • 将网关的流量转发给真实受害者。

  • 效果:受害者网络连接正常,但所有流量流经攻击者。

2. 协议层漏洞根源

  • 无认证机制:ARP协议无身份验证,设备信任任何ARP响应包。

  • 动态覆盖:新ARP响应自动覆盖缓存表旧记录(即使已存在静态绑定)。

🏗️ 二、系统架构与工具栈

1. 攻击工具分层架构

层级组件功能代表工具
网络层ARP欺骗引擎构造/发送伪造ARP包arpspoofettercap
内核层IP转发模块开启流量中继(避免断网)Linux sysctl
数据层流量分析引擎解析HTTP/DNS等明文数据Wiresharktcpdump
攻击层流量篡改引擎SSL剥离/JS注入/会话劫持mitmproxyBurp Suite

2. 完整攻击链示例(以ettercap为例)

# 1. 启用IP转发
echo 1 > /proc/sys/net/ipv4/ip_forward

# 2. ARP投毒(双向欺骗)
ettercap -Tq -i eth0 -M arp:remote /192.168.1.100// /192.168.1.1//

# 3. 流量分析(自动解析密码)
[ettercap捕获到HTTP登录请求]
GET /login?user=admin&pass=123456 HTTP/1.1

3. 伪造ARP包结构(Scapy实现)

from scapy.all import *
# 欺骗受害者
send(ARP(op=2, pdst="192.168.1.100", psrc="192.168.1.1", hwdst="受害者MAC", hwsrc="攻击者MAC"))
# 欺骗网关
send(ARP(op=2, pdst="192.168.1.1", psrc="192.168.1.100", hwdst="网关MAC", hwsrc="攻击者MAC"))

⚠️ 三、可实施的攻击类型

攻击类型原理危害案例
流量窃听捕获HTTP/FTP/Telnet明文数据窃取账号密码、聊天记录
SSL剥离拦截HTTPS请求返回HTTP响应获取银行账号明文
会话劫持窃取Cookie/Token重放登录未授权访问用户邮箱
钓鱼注入篡改网页插入恶意JS或钓鱼表单诱导下载木马/输入敏感信息
DNS欺骗伪造DNS响应指向恶意IP引导至仿冒网站

🛡️ 四、防御架构设计

1. 分层防护方案

防护层技术原理实施示例
终端层静态ARP绑定锁定IP-MAC映射防覆盖arp -s 192.168.1.1 00:11:22:33:44:55
网络层DAI(动态ARP检测)交换机校验ARP包合法性Cisco: ip arp inspection vlan 10
 DHCP Snooping绑定IP-MAC-Port三元组switchport port-security
加密层强制HTTPS+HSTS阻止SSL剥离攻击响应头: Strict-Transport-Security: max-age=31536000
监控层ARP异常流量告警检测同IP多MAC冲突Snort规则: alert arp any any -> any any (msg:"ARP欺骗"; arp.dst.hw_mac != 00:11:22:33:44:55;)

2. 企业级防御架构

🔥 五、高级对抗技术

1. 绕过静态ARP绑定

  • ARP重放攻击:重放历史合法ARP包覆盖静态条目(需配合防御方案4)。

  • ICMP重定向攻击:发送伪造ICMP重定向包改变路由路径。

2. 防御DAI方案

  • 合法ARP包窃取重放
    监听网关ARP响应 → 篡改MAC后重放 → 利用“合法”结构绕过校验。

  • 防御方案
    启用 加密ARP(如ArpON)或部署 AI行为分析(检测固定周期重放)。

💎 六、总结:ARP中间人攻击的本质

  1. 攻击三角模型
    ARP投毒 → 流量拦截 → 隐蔽中继

  2. 防御核心原则

    • 终端:静态绑定 + 禁用ARP更新

    • 网络:DAI + DHCP Snooping + 端口安全

    • 应用:全流量加密(HTTPS/IPSec)

  3. 未来趋势

    • 协议替代:IPv6+NDP+IPSec彻底淘汰ARP

    • AI防御:时序分析检测低频重放攻击

📌 关键认知:ARP中间人攻击是局域网安全的“元威胁”,防护需覆盖 协议加固设备策略加密体系 三层,在金融、医疗等场景需启用硬件级加密通信(如MACsec)。

 

hao_wujing
关注
【技术干货】三大常见网络攻击类型详解:DDoS/XSS/中间人攻击原理、危害及防御方案
Memory_mumu的博客
03-09 1570
DDoS(Distributed Denial of Service,分布式拒绝服务攻击)通过操控大量“僵尸设备”(Botnet)向目标服务器发送海量请求,耗尽服务器资源(带宽、CPU、内存),导致正常用户无法访问服务。XSS(跨站脚本攻击)通过向网页注入恶意脚本(JavaScript),在用户浏览器中执行,窃取Cookie、会话Token等敏感信息。攻击者在通信双方之间伪装成“中间人”,截获、篡改或窃取传输数据,常见于公共WiFi、HTTP明文传输场景。
内网渗透之中间人欺骗攻击-ARP攻击
最新发布
4SecNet团队专栏
09-21 1430
ARP全称为Address Resolution Protocol,即地址解析协议,它是一个根据IP地址获取物理地址的TCP/IP协议,主机发送信息时将包含目标IP地址的ARP请求广播到网络上的所有主机,并接收返回消息,以此确定目标的物理地址,收到返回消息后将该IP地址物理地址存入本机ARP缓存中并保留一定时间,下次请求时直接查询ARP缓存以节约资源。以上关于ARP欺骗的内容总结到此。
中间人攻击ARPspoof)
qq_43734081的博客
11-16 2511
中间人攻击ARPspoof) 1.介绍: 中间人攻击(Man-in-the-MiddleAttack,简称“MITM攻击”)是一种“间接”的入侵攻击,这种攻击模式是通过各种技术手段将受入侵者控制的一台计算机虚拟放置在网络连接中的两台通信计算机之间,这台计算机就称为“中间人”。 2.简介 中间人攻击(Man-in-the-Middle Attack, MITM)是一种由来已久的网络入侵手段,并且当今仍然有着广泛的发展空间,如SMB会话劫持、DNS欺骗等攻击都是典型的MITM攻击。简而言之,所谓的MI
ARP中间人攻击
IP_LiangHuan的博客
11-29 312
又叫中间人攻击,ARP协议在解析IP地址时,并不会验证目标主机的身份,攻击者把自己的MAC地址伪造成目标地址来欺骗受害者,从而截取或修改数据包,控制目标主机网络中的数据传输所依赖的是MAC地址而不是IP地址,ARP协议负责将IP地址转换为MAC地址ARP协议工作原理ARP协议规定,每台计算机都需要一个ARP表,用来保存IP地址MAC地址的映射关系访问IP地址的时候就去查ARP表,从而找到对应的MAC地址如果ARP表中匹配不到,就会使用广播的方式发送一个ARP请求。
ARP欺骗与中间人攻击
weixin_34061042的博客
09-27 289
前言:   上一篇WPA/WAP2wifi 密码破解笔记说到如何探测附近开放的AP并且破解进入,那么进入别人据局域网我们能干些什么呢?换句话说如果别人进入了我们内部网络,会有什么影响?本文简要介绍了ARPMITM原理,并在实际环境中对目标主机的流量进行劫持。曝露了公共网络中普遍存在的问题,藉此来看看局域网中的客户端究竟面临着怎样的隐私泄漏安全风险。 ARP与MITM原理 什么是AR...
arp欺骗——中间人攻击
一大口木的博客
04-26 514
准备工作:ftp服务器的下载、3台计算机(1台本机(我的是win10),2台虚拟机(1kali1随意))下面就是ftpserver服务器的软件,放在自己的本机上就行链接:https://pan.baidu.com/s/16rsbwGNPj_DtKQUPmVXf-w?pwd=zzea提取码:zzea两台虚拟机我本机上放的ftp服务器自己先调整好网络,我虚拟机用的net,kali的IP为虚拟机——window的ip为本主机net网卡的ip为192.168.10.1。
中间人攻击ARP欺骗)
tmzy1的博客
04-19 801
中间人攻击ARP欺骗)、kali系统中ettercap工具进行中间人攻击
中间人攻击原理
01-05
中间人攻击的具体实现方式多种多样,如防火墙端口重定向、DNS欺骗、ARP欺骗代理欺骗。在这篇文章中,作者以代理欺骗为例,讲解了如何通过修改Apache源码来实现SSL中间人攻击。通过添加过滤器,特别是SSL输入过滤器...
ARP中间人攻击检测工具Arpwatch的功能与应用
ARP中间人攻击是一种网络攻击手段,攻击者通过篡改ARP(地址解析协议)缓存中的内容,将ARP请求的响应替换为自己的MAC地址,从而截获发送到特定主机的流量。这种攻击方式能够使得攻击者成为通信双方数据传输的中间人...
【网络安全】https协议的加密方案避免中间人攻击(MITM攻击)导致的数据泄露风险
2301_79796701的博客
08-06 2403
客户端拿到黑客的公钥M,在本地生成自己的私钥C。用黑客的公钥M加密,然后再向服务器发起请求,黑客很自然的用自己的私钥M*解密,拿到客户端的私钥C,然后用服务端的公钥S加密向服务端发起请求,至此客户端,黑客,服务端都拿到密钥C,客户端服务端用密钥C进行对称加密通信,但双方并不知道有第三方也拿到了密钥C。客户端在本地生成自己的私钥C,然后用服务端的公钥S加密,即使有中间设备,但该数据包只有服务端的私钥S*解密,私钥C只有客户端服务端知道,从次双方用私钥C对称加密进行通信,至此通信双方完成密钥协商。
中间人攻击(MITM)---常见攻击方法及原理
daibaohui的博客
02-19 1136
相关学习资料 http://www.cnblogs.com/LittleHann/p/3733469.html http://www.cnblogs.com/LittleHann/p/3738141.html http://www.cnblogs.com/LittleHann/p/3741907.html http://www.cnblogs.com/LittleHann/p/3708222.html http://www.icylife.net/blog/?p=371&replytoco.
ARP中间人攻击及IP地址冲突
05-05
附件里面的文档说明的特别清楚,请用心阅读。这些是基础,了解之后会觉得特别有意思。 附件内容: 1、 ARP工作原理、IP地址冲突原因、ARP欺骗ARP攻击介绍。 2、 ARP攻击的源码,扫描局域网计算机,发起IP地址冲突攻击中间人攻击。当被攻击者收到这样的ARP应答后,就认为本机的IP地址在网络上已经被使用,释放出本机的IP地址,弹出IP地址冲突对话框(此时被攻击者会暂时断网)。中间人攻击截获PC与网关之间所有的通信包。 3、 攻击所需要的开发环境。 本源码并不到位,有些只实现了一部分,但是提供了个死了,这里共享出来供有兴趣的人在富余时间去研究。
ARP攻击中间人攻击MITM)
weixin_56233402的博客
06-24 550
如图2所示,当主机A主机B之间通信时,如果主机A在自己的ARP缓存表中没有找到主机B的MAC地址时,主机A将会向整个局域网中所有计算机发送ARP广播,广播后整个局域网中的计算机都收到了该数据。这时候,主机C响应主机A,说我是主机B,我的MAC地址是XX-XX-XX-XX-XX-XX,主机A收到地址后就会重新更新自己的缓冲表。当主机A再次与主机B通信时,该数据将被转发到攻击主机(主机C)上,则该数据流会经过主机C转发到主机B。当主机之间进行通信时,通过封装数据包进而转发到目标主机上。
中间人攻击-ARP中毒
weixin_43838889的博客
09-15 547
在上一章中,我们学习了网络扫描。 网络扫描是信息收集的一部分,它允许用户在本地网络中查找主机。 在本章中,我们将学习如何利用这些信息来攻击本地网络上的受害者。 我们将在本章中讨论以下主题: 为什么我们需要ARP? 构建 ARP 欺骗程序 监控流量 加密流量 手动恢复ARP表 解密网络流量 为什么我们需要ARP? 在前面的章节中,我们提到了地址解析协议是什么。在本章中,我们将更深入地研究它。在本地网络中,设备之间使用 MAC 地址而不是 IP 地址进行通信。这些也称为链路层地址。 ARP 是一种请求响应协
7.13、中间人攻击ARP欺骗)
qq_33782021的博客
01-22 1451
地址解析协议(Address Resolution Protocol,ARP),负责把目的主机的IP 地址解析成目的MAC地址,地址解析的目标就是发现逻辑地址与物理地址的映射关系。网络中的计算机、交换机、路由器等都会定期维护自己的ARP缓存表。为什么需要ARP? 在发送者给其他的网络设备发送数据的时候, 是以数据帧的形式发送的,数据帧是由源MAC地址目的MAC地址组成的,如果发送者只知道目的主机的IP地址, 不知道目的主机的MAC地址, 就不能把这个数据包转化成数据帧发走。
中间人攻击arp欺骗
qq_53058639的博客
07-31 298
前段时间学习了一下有关中间人攻击的有关知识,写篇文章记录下中间人攻击(Man-in-the-MiddleAttack,简称“MITM攻击”)是一种“间接”的入侵攻击,这种攻击模式是通过各种技术手段将受入侵者控制的一台计算机虚拟放置在网络连接中的两台通信计算机之间,这台计算机就称为“中间人”地址解析协议,即ARP(Address ResolutionProtocol),是根据IP地址获取物理地址的一个TCP/IP协议。主机发送信息时将包含目标IP地址的ARP请求广播到局域网络上的所有主机,并接收返回。
中间人攻击ARP欺骗
YJ_12340的博客
09-08 3064
​​​。
Arp中间人攻击原理
lyzaishang的博客
03-10 2465
1、 实践内容 设计并实现ARP攻击 可以设计并实现其他攻击 2、 实践过程 1) 各部分说明 本机IP地址 本机MAC地址 目标IP地址 网关IP地址 2) ARP协议研究 ARP协议的全称为地址解析协议,是一种工作在网络层的协议,是一种将IP地址转换为MAC地址(物理地址)的协议因为在OSI七层模型中,IP地址在第三层网络层,传送的是IP数据报,mac地址在第二层数据链路层,传送的是数据帧,二层的以太网交换设备并不能识别32位的IP地址,它们是以48位以太网地址(就是我们常说的MAC地址)传输以太网数
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值