#引言
相信很多处于局域网的朋友对ARP攻击并不陌生,在我们常用的Windows操作系统下拥有众多ARP防火墙,可以很好的阻断ARP攻击,但是如果使用的是Linux系统要怎么做才能防止ARP攻击呢?想要防御就需要先了解攻击的原理。这篇文章使用Kali系统(基于Debian的众多发行版之一),实例演示Linux系统如何实施ARP攻击以及如何防范。
#文章目录
- 0×1.ARP工作原理
- 0×2.使用arpspoof实现中间人arp攻击
- 0×3.使用ettercap实现中间人arp攻击
- 0×4.使用driftnet实现网卡图片捕获
- 0×5.Linux系统如何防范ARP攻击
0×1.ARP工作原理
简单的说ARP(Address Resolution Protocol 地址解析协议)是在局域网环境中根据IP地址获取MAC地址的一个TCP/IP协议。
希望了解更多ARP工作原理的朋友可以参考一下本站这篇文章:[[CCNA图文笔记]-3-TCP/IP参考模型和协议的对应关系],文章中"网际层(Internet)"那一节对交换机原理的描述,对理解ARP攻击非常有帮助。
攻击形成的原理浅析,假设有如下的IP与MAC:
局域网网关(A)IP:192.168.1.1
局域网MAC:11:11:11:11:11:11
被攻击者(B)IP:192.168.1.2
被攻击者MAC:22:22:22:22:22:22
攻击者©IP:192.168.1.3
被攻击者MAC:33:33:33:33:33:33
正常的时候,计算机B在自己的ARP缓存中记录了正确的网关IP和MAC映射关系(192.168.1.1>11:11:11:11:11:11),而这个时候C发动攻击,他伪造一个虚假的ARP数据包(192.168.1.1>44:44:44:44:44:44)这个数据包发送给B后,B的ARP缓存中关于网关的映射关系就被改成了错误的(192.168.1.1>44:44:44:44:44:44),这个全4的MAC在局域网中根本不存在。
在局域网中想要上网,数据必须先通过网关才能发送出去,但是B计算机的ARP缓存中对应网关的MAC地址被篡改,它现在无法和网关通信,所以就不能正常上网了。
除此之外,如果C伪造的虚假ARP不仅仅是欺骗B还欺骗网关A,C告诉网关,我就是B,然后再告诉B,我就是网关A,那么C作为"中间人"在A和B之间搭建起了一座桥梁,所有B的上网流量都要经过C的网卡发给网关,而网关将返回的数据发给C,再由C发给B,与上面的ARP攻击不同,此时的B是能正常上网的,但它的所有操作都可能被C记录,除非所有的数据在源头被加密发送,而这种加密必须不可逆。<