一、ARP断网、欺骗攻击
1、ARP欺骗概述
ARP欺骗(英语:ARP spoofing),又称ARP毒化(ARP poisoning,网上上多译为ARP病毒)或ARP攻击,是针对以太网地址解析协议(ARP)的一种攻击技术,通过欺骗局域网内访问者PC的网关MAC地址,使访问者PC错以为攻击者更改后的MAC地址是网关的MAC,导致网络不通。此种攻击可让攻击者获取局域网上的数据包甚至可篡改数据包,且可让网上上特定计算机或所有计算机无法正常连线。
2、常见方法
常见的ARP欺骗手法:同时对局域网内的一台主机和网关进行ARP欺骗,更改这台主机和网关的ARP缓存表。攻击主机PC2发送ARP应答包给被攻击主机PC1和网关,分别修改它们的ARP缓存表, 将它们的ip地址所对应的MAC地址,全修改为攻击主机PC2的MAC地址,这样它们之间数据都被攻击主机PC2截获。
3、环境搭建
攻击者kali:IP地址:192.168.201.128 MAC地址:00:0c:29:15:07:6c
受害者win7主机: IP地址: 192.168.201.136 MAC: 00-0C-29-6C-3F-27
网关: IP地址:192.168.201.2 MAC地址:00-50-56-fa-b0-42
4、工具准备
在kali机器上安装arpspoof工具,安装教程可参考本人另一篇博客:Kali系统安装arpspoof常见问题及解决方案_诗诗奶爸的博客-CSDN博客
5、攻击步骤
5.1 ARP断网攻击
(1)通过fping命令,查看当前局域网还存在那些主机,以确定要攻击的主机的ip地址
fping -g 192.168.201.0/24
执行结果如下:alive表示主机存活,可进行ARP攻击
(2)在kali中使用arpspoof –i 网卡 -t 目标ip 网关开始ARP断网攻击
执行命令:
目标机器断网:
查看受害者机器的网关ARP信息,发现网关MAC地址已经变为攻击者kali机器的MAC地址,ARP断网攻击成功:
可以发现,ARP断网攻击一旦开始网络即会中断,很容易被受害者机器察觉。为了隐藏攻击行为,黑客常使用ARP欺骗攻击监听目标机器流量,截取图片并获取目标机器的账号密码及权限。
5.1 ARP欺骗攻击
(1)arp欺骗攻击通过修改/proc/sys/net/ipv4/ip_forward参数(默认是0,不进行转发)进行ip流量转发,不会出现断网现象。修改命令为:
echo 1 >/proc/sys/net/ipv4/ip_forward
修改完成后,数据包正常转发:
(2)修改完成后,win7和网关通信的数据包都会流经kali,那么可以在 kali 中利用driftnet工具,可以捕获win7机器正在浏览的图片,kali系统输入操作命令:
driftnet –i eth0
注意:这里只能看到HTTP页面的图片,无法查看HTTPS页面
(2)利用ARP欺骗获取HTTP账号密码
借助于EtterCap嗅探软件,渗透测试人员可以检测网络内明文数据通讯的安全性,及时采取措施,避免敏感的用户名/密码等数据以明文的方式进行传输,命令如下(-Tq 启动文本模式 q 安静模式 -i 网卡):
ettercap -Tq -i eth0
二、ARP攻击防御
1、静态ARP绑定(-s 表示静态 -d表示动态)
arp -s 192.168.201.2 00-50-56-fa-b0-42
arp -s 192.168.201.136 00-0C-29-6C-3F-27
arp -a 查看ARP缓存表
2、使用ARP防火墙
3、使用可防御ARP攻击的核心交换机,绑定端口-MAC-IP
5593
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
