学习日志8.5--ARP攻击与防范

m0_62560069

于 2024-08-05 12:26:45 发布

阅读量1.1k

点赞数 17

文章标签：学习服务器 linux

本文链接：https://blog.csdn.net/m0_62560069/article/details/140912088

版权

ARP欺骗攻击

ARP泛洪防范（动态ARP检测）

ARP欺骗攻击

ARP中间人攻击，中间人可以通过交换机查询交换表获取主机和网关的IP地址信息中间者通过ARP的查询可以知道PC2的IP地址和MAC地址，知道R2的IP地址和MAC地址，攻击者可以发送ARP的欺骗直接告诉PC2，说我是你的网关我的IP是192.168.100.199、MAC地址是54-58-98-6D-4E-F6（变成了攻击者的MAC地址），你有事可以找我。这个时候，在PC2收到攻击者的ARP欺骗，PC2的ARP表中的MAC地址表会更新，更新成攻击者的MAC地址，实现让PC2转发信息都转发到攻击机上。然后攻击机再向R2发送ARP欺骗，欺骗成功后，R2刷新ARP表，将表中的原PC2的MAC地址换成PC3攻击机的MAC地址。再完成ARP欺骗后，ARP表中的IP地址没变但是MAC地址变了，再数据转发的时候，数据沿着MAC地址转发到攻击机后，攻击机会打开数据包查看，或者复制一份，然后再转发到R2上。R2回复数据的时候，先到攻击者，然后攻击再对数据进行浏览复制修改，然后再发送给PC2。作为中间人，可以截获数据，也可以选择不转发数据使得PC2无法进行网络交互断网。

ARP模拟攻击防范的拓扑结构，用路由PC102当主机，用路由PC102-WG当作主机102的网关。按照IP地址给接口配置IP信息。
命令：[PC-102]display interface GigabitEthernet 0/0/0，可以查看接口的MAC地址
配置好IP地址信息，查看好接口的MAC地址后，给102配置默认路由
命令：[PC-101]ip route-static 0.0.0.0 0.0.0.0 192.168.11.199，默认网关是192.168.11.199配置好后，用102ping网关199，生成正确的ARP表。

命令：[PC-102]display arp，查看PC102中ARP表记录的信息在PC101上的ARP表记录的192.168.11.199的MAC地址是4aa2，和PC101-WG接口的MAC地址相符合。

命令：[PC-102-WG-GigabitEthernet0/0/0]display arp，查看PC102-WG中ARP表记录的信息
在PC102-WG上的ARP表记录的192.168.11.101的MAC地址是637e，和PC101接口的MAC地址相符合。

在进行攻击之前先把交换机的端口安全关闭。
命令：[SW1-port-group-1]undo port-security enable

利用kali进行中间人攻击，发起ARP欺骗在PC102上看数据抓包第一个广播包是kali发出来的，说我是192.168.11.101，谁是192.168.11.102告诉我然后第二个是PC102给kali的回包，我是192.168.11.102我的MAC地址是63：7e下一个是kali的广播包，问谁是192.168.11.199告诉我
然后在PC102-WG获得回包之后，就开始ARP欺骗后面都是发送给PC102（63：7e）的ARP欺骗，说我是192.168.199我的MAC地址是82：d0

再看PC102-WG接口的数据包第一个是kali的广播包，问谁是192.168.11.102，告诉我192.168.11.101，这个包需要PC102的回复，在PC102的接口已经回复了第二个kali的广播包是问谁是192.168.199，告诉我192.168.101第三个是PC102-WG给kali的回包，我是192.168.11.199我的MAC地址是4aa2在知道双方的MAC地址之后就进行ARP欺骗，告诉192.168.11.199，我是192.168.11.102我的MAC地址是82：d0。