本次实验采用虚拟机完成,虚拟机须在同一网段
一、虚拟机
kali2022,Windows7
攻击方:kali2022
靶机方:Windows7
二、下载driftnet软件
直接输入driftnet,系统会给下载提示
三、ARP攻击
需要两个主机可以连通
靶机IP:192.168.8.132,网关:192.168.8.2
1、命令攻击
首先使用arp -a查看windows7的arp转换表
测试网络连通性
使用命令arpspoof -i 本机网卡 -t 被攻击目标IP 被攻击网关,使用“ctrl+c”可以停止攻击
查看windows的arp表,发现arp表中网关的mac地址与kali攻击机物理地址一样
再次尝试ping www.baidu.com,出现找不到主机
访问百度无法访问
关闭arp攻击后恢复访问
2、可视化工具ettercap
在cmd中敲入ettercap -G打开工具
将 sniffing at startup开关关闭,选择eth0网卡
选择右上角√符号运行
点击放大镜搜索IP,再将IP显示出来
网关地址添加到target1,靶机地址添加到target2
配置其它信息,选怎ARP poisoning
点击sniff remote connections,点击ok
选择设置,选择plugins
选择manage plugins
选择dns_spoof,出现*则可以
点击按钮进行攻击
攻击成功
可视化工具攻击后仍然可以访问百度,但是访问速度变慢3、
3、driftnet捕捉访问图片
在kali中敲入driftnet -i eth0
在windows中访问网站(需要http协议,https协议的无法获取)
在kali中可以看到网站包含的图片
四、防御
1、基本思路
由于arp欺骗是将arp装换表中IP地址对应的mac地址改变而攻击的,所以我们在防御的时候将arp表动态映射修改为静态映射就可达到实验目的。
2、步骤
查看windows中的网卡号
执行netsh i i show in命令
我们用到的是11号网卡
使用 网络适配器ID号(网卡号) 网关IP地址 网关Mac地址修改为静态arp绑定
查看arp转换表
在kali进行攻击
再次查看windows的arp转换表 ,并对百度执行ping操作
可以看到arp转换表没有变化,且可以正常ping通百度,防御成功。