arp断网与arp欺骗实验##DNS欺骗
一、实验目的:
通过实训理解ARP欺骗的原理,掌握中间攻击的方法。
二、场景描述:
在虚拟机环境下配置 “Win7”和“Kali Linux”虚拟系统,使得2个系统之间能够相互通信,网络拓扑如图所示。
三、实验环境
软件:VMware Workstations14以上版本
虚拟机:Kali-Linux、Windows 7
四、实验步骤
查看win7的MAC地址
win7打开命令提示符输入ipconfig/all查看
win7打开命令提示符输入arp -a查看ARP缓存表中的网关MAC地址,红框中的是默认网关的mac地址。
查看kali的MAC地址
kali终端中输入ifconfig命令查看kali的MAC地址
主机扫描,扫描网络中活跃的主机。
方法1:执行ping扫描最简单的方法是使用工具fping,fping使用ICMP ECHO一次请求多个主机,对当前局域网还存在那些主机进行快速扫描,以确定要攻击的主机的ip地址。
格式:fping –s –r 1 -g 192.168.xxx.x/24
-s 选项表示显示最终结果
-r 选项设置尝试次数
-g 选项设置扫描范围
方法2:执行nmap -v -n -sP 192.168.xxx.x/24,扫描网络中活跃的主机。(推荐使用)
-v 选项表示提高输出信息的详细度,显示全部输出结果
-n 选项表示不用DNS域名解析,加快扫描速度
-sP 选项表示只利用ping扫描进行主机发现,不进行端口扫描
注:用nmap进行主机扫描速度快,而且能穿透防火墙,是比较可靠的扫描工具。
利用arpspoof工具进行arp欺骗
arpspoof 是一款进行arp欺骗的工具,攻击者通过毒化受害者arp缓存,将网关mac替换为攻击者mac,然后攻击者可截获受害者发送和收到的数据包,可获取受害者账户、密码等相关敏感信息。
arpspoof 是 dsniff 的一个附属工具,所以我们需要安装的是 dsniff :使用以下命令安装dsniff:apt-get install dsniff
更换更新源为阿里云,原有的更新源加#号注释
#vim /etc/apt/sources.list
修改为
deb https://mirrors.aliyun.com/kali kali-rolling main non-free contrib
deb-src https://mirrors.aliyun.com/kali kali-rolling main non-free contrib
或者
deb https://mirrorsustc.edu.cn/kali kali-rolling main non-free contrib
deb-src https://mirrors.ustc.edu.cn/kali kali-rolling main non-free contrib
修改完成后执行apt-get update命令完成更新
如果个更新不成功:安装加载数字签名证书
gpg --keyserver hkp://pgpkeys.mit.edu --recv-key ED444FF07D8D0BF6
gpg -a --export ED444FF07D8D0BF6 | sudo apt-key add –
或者
wget archive.kali.org/archive-key.asc //下载签名
apt-key add archive-key.asc //安装签名
重新安装命令,apt-get install dsniff
配置好之后就可已使用arpspoof工具了
命令格式:arpspoof -i 网卡 -t 目标ip 网关
-i 后面的参数是网卡名称
-t 后面的参数是目的主机和网关,截获目的主机发往网关的数据包
先检查受害主机的网络状态:执行断网命令之前是正常的
执行命令:arpspoof -i eth0 -t 192.168.10.3 192.168.10.1
win7的反应
此时再次查看win7的MAC缓存表
从截图中可以看到,默认网关的MAC地址变成了攻击机kali的MAC地址
Arp断网:目标ip的流量经过我的网卡
Arp欺骗:目标ip的流量经过我的网卡,从网关出去。
kali中输入命令echo 1 >/proc/sys/net/ipv4/ip_forward可开启流量转发
设置ip流量转发后,受害者不会出现断网现象。
有时不能这样直接修改,还有另外一种方法
修改/etc/sysctl.conf文件,使得net.ipv4.ip_forward = 1;等于0为不转发。然后更新:# sysctl -p
kali 中利用driftnet工具,可以捕获win7机器正在浏览的图片
Driftnet是一个监听网络流量并从它观察到的TCP流中提取图像的程序。
在命令行输入:
apt-get install driftnet
driftnet -i eth0
DNS欺骗实验
1、实验环境:
VMware下的kali(攻击机)
Windows 7 x64(目标机)
2、实验原理:
什么是DNS 域名系统( Domain Name System ),是一种分布式网络目录服务,主要用于域名与 IP 地址的相互转换。DNS特点:分散和分层的机制来实现域名空间的委派授权以及域名与地址相转换的授权。DNS查询请求是层层传递,查询和应答无严格身份验证、会话无加密收到应答后DNS服务器会缓存结果。
实验步骤
首先,确定目标机的IP和网关
获取root权限
执行命令输入vi /etc/ettercap/etter.dns ,在配置文件下输入www.baidu.com A 192.168.230.133(这是把百度的域名对应攻击者的ip,在攻击机做中间人后,目标机先访问这里的dns)(A代表ipv4,AAA代表ipv6
输入ettercap -G ,进入ettercap工具 ,点击对勾
分别点击1和2,得到Host List
如图分别把目标机ip与网关IP加入Target中
点击1下的2,即可进行arp欺骗了
可以看到目标机的网关mac地址已是攻击机的mac地址了
进行如下1-2-3-dns_spoof操作,可进行dns欺骗了
在目标机ping www.baidu.com ,发现ip为攻击机架设的ip