ARP攻击(网关)
一、实验环境
1.攻击机:Kali Linux
2.靶 机:Windows 7
3.网卡连接:NAT(Vmnet 8)
4.IP地址:自动获取(通过Vmware软件自动分配IP地址)
二、实验原理
1.ARP协议
-
Address Resolution Protocol,地址解析协议
-
位于TCP/IP协议栈中的网络层,负责将某个IP地址解析成对应MAC地址。
-
一台主机和另一台主机通信,要知道目标的IP地址,但是在局域网中传输数据的网卡却不能直接识别IP地址,所以用ARP解析协议将IP地址解析成MAC地址。ARP协议的基本功能就是通过目标设备的IP地址,来查询目标设备的mac地址
2.ARP缺陷
- ARP协议建立在信任局域网内所有节点的基础上,具有高效率,但不安全。
- 无状态的协议,不会检查自己是否发过请求包,不管是否是合法的应答,只要收到的目标MAC地址是自己的ARP reply或者ARP广播包(包括ARP reply和ARP request),都会接受并缓存。
3.ARP攻击症状
- 打开网页速度非常慢,甚至打不开
- 提示IP地址冲突
- 甚至导致校园网瘫痪断网
- 一般会绑定木马病毒,窃取用户账号密码
4.ARP攻击形式
>从内部协议分析
- 假冒ARP reply包(单波或广播),向单台主机或多台主机发送虚假的IP/MAC地址
- 假冒ARP request包(单播或广播),实际上是单播或广播虚假的IP、MAC映射
- 假冒中间人,启用包转发向两端主机发送假冒的ARP reply,由于ARP缓存的老化机制,有时还需要做周期性连续性欺骗
>从影响网络连接通畅的角度看
- 对路由ARP表的欺骗(截获网关数据,让路由器获得错误的内网MAC地址,导致路由器把数据发送给错误的MAC,使内网内的主机断网)
- 伪造内网网关(冒充网关,使内网计算机发送的数据无法到达真正的路由器网关,导致内网计算机断网)