ARP 攻击实验
声明:
作者发布的各种内容只供交流学习。如果学习者用于其他非法环境,一切法律后果由其个人承担,与本文作者无关
一、实验原理:
ARP协议是TCP/IP协议组的一个协议,这个协议是建立在局域网上主机相互信任的基础上的,局域网中的主机可以自主发送ARP应答消息,其他主机收到应答报文时不会检测该报文的真实性并直接将其记入本机ARP缓存。ARP缓存表采用的是机械制原理,如果表中的某一列长时间不使用,就会被删除。也就是说ARP的缓存表是可以被更改的。表中的IP地址和MAC地址也是随时可以修改,这样在局域网中很容易被ARP欺骗。
二、主要工具:
Kali Linux虚拟机(攻击机)
Win10 虚拟机(对照)
Win 7虚拟机(靶机)
三、实验步骤
-
将kali、win7、win10 配置网卡为桥接模式。
-
确保三台计算机都能上网
Win7
Win10:
Kali:
- 此时开始测试三台主机的互通:
Nmap扫描局域网存活主机
220:网关(开启热点的手机)
174:真实机
25:Kali
168:Win10
249:Win7
通过Win7 ping Kali 和Win10 检测联通
-
查看win7 ARP缓存表中的地址
-
开始发起对Win7的ARP攻击
分别向路由器(热点手机)、Win7 发动ARP相应包,进行ARP缓存表Mac地址欺骗。可以发现目前Win7无法上网,但是 Win10正常上网。
-
查看Win7的ARP缓存表,发现Win7主机和网关的Mac地址已经被更改为Kali的Mac地址
-
此时暂时停止对Win7的攻击,发现Win7又可以重新上网。
-
回到kali中 开启kali的流量包转发
-
下载driftnet准备对Win7所访问的图片进行抓取
-
再次发动对Win7的ARP攻击,但这次因为开启了Kali的数据流量包转发,Win7不会断网,但我们开启了driftnet,抓取了Win7所访问页面的图片。
使用Win7去访问一些有图片的页面(这个可能计算机性能问题或者可能是ie浏览器太老了,着实是没有抓到图片)
四、通过抓包来验证ARP攻击
- 通过抓包可以看到发起攻击后,Kali生成ARP响应包发送给网关与Win7进行Mac地址欺骗
- 从下图中可以看到IP地址最后为249的是Win7靶机 mac地址为ce80的是Kali攻击机,虽然数据流量包显示IP是由Win7发出,但实际上是通过Kali转发的。
通过对数据包分析就可以截取Win7的上网信息,实现攻击。
五、防御方法:
-
配置静态的ARP缓存表:因为网关设备一般是固定的,可以将网关等关键的网络设备的IP和Mac地址静态配置到ARP的缓存表中,使其无法更改。
-
接入安全设备:在内网中配置入侵监测系统和网络安全防火墙等
方法: -
配置静态的ARP缓存表:因为网关设备一般是固定的,可以将网关等关键的网络设备的IP和Mac地址静态配置到ARP的缓存表中,使其无法更改。
-
接入安全设备:在内网中配置入侵监测系统和网络安全防火墙等
-
网络隔离:将不同的网络分类隔离到不同的网络,应该可以防止大规模的ARP攻击
在这里插入代码片
如果有错误,欢迎与我进行交流,想开始入门学习网安,以后会经常做博客来督促自己的学习。如果觉得写的也可以,希望动动小手指关注一下。如有疑问或者寻求ENSP软件等相关资源也可以联系我本人QQ 1774876346
在这里插入代码片