渗透测试--ARP攻击

ARP攻击

简介

ARP（address resolution protocol 地址解析协议）在局域网中，网络实际传输的是“帧”，帧里面包含有目标主机的MAC地址，在以太网中一个主机要和另外一个主机进行通信，必须要知道目标主机的MAC地址。这个目标MAC地址是通过地址解析协议获得的。所谓“地址解析”就是主机在发送帧前，将目标的ip地址转换成MAC地址的过程。

ARP攻击的危害

ARP可以造成内部网络的混乱，让某些被欺骗的计算机无法正常访问内外网，让网关无法和客户端正常通信，也可以截取全网络数据包等。

• 实际上ARP攻击危害不仅仅如此，一般来说IP地址冲突我们可以通过多种方法和手段来避免，而ARP协议工作在更底层，隐蔽性更高，系统并不会判断ARP缓存的正确与否，无法像ip地址冲突那样给出提示

ARP攻击原理

把自己的MAC地址伪造成网关的地址来欺骗其他的主机

ARP攻击实例

实验一：让主机无法上网、限速等

实验二（单向）：arpsniffer 192.168.1.1 192.168.1.100 80，3389 log.txt //安装提示的使用方法， arpsniffer的第一个参数为网关地址， 我这儿为：192.168.1.1， 第二个参数为要欺骗的IP地址， IP为：192.168.1.100， 第三个参数为要截取数据的端口号：80， 第四个参数是要把捕获的数据保存到指定的文件：log.txt

实验三:zxarps实现双向截取数据，并修改网页内容

zxarps.exe -idx 0 -ip 192.168.17.201 -p 80 -insert “”
　现在只要IP为192.168.1.102的计算机用户访问协议为http的网页， 页面中都会弹出一条消息, ARP欺骗可以实现局域网挂广告， 盗取明文密码， 偷偷刷weibo粉丝， 查看别人的聊天记录等， 获取局域网妹纸的微信号，qq号等， 毕竟可以插入JavaScript代码了， 啥事干不了…

• zxarps还有其他的使用方式，比如捕获用户的网页请求数据和接收数据， 截取IP为192.168.1.107和192.168.1.105的所有网页请求并保存起来， 构造如下的命令行：
  运行下面代码
  zxarps -idx 0 -ip 192.168.1.107,192.168.1.105 -p 80 -save_a log.txt

实验四：dns欺骗

实验五：用户密码盗取

中间人攻击

man in the middle attack(MITM)是一种间接的入侵攻击，这种攻击模式是通过各种技术手段，将受入侵者控制的一台计算机虚拟机放在网络连接中的两台通信计算机之间，这台计算机就称为“中间人”

攻击分类

• 1、单向攻击

• 2、双向攻击

  • Linux下的攻击软件

当主机之间进行通信时，通过封装数据包进而转发到目标主机上。转发的数据包中包括源IP地址、目标IP地址及MAC地址。但是当主机在自己的缓存表中找不到目标主机的地址时，它会发送ARP广播，在此过程中就可能被其他攻击者冒充目标主机

• 实施中间人攻击时，攻击者常考虑的方式是ARP欺骗或DNS欺骗等。
• 一般情况下，ARP欺骗并不是使网络无法正常通信，而是通过冒充网关或其他主机使得到达网关或主机的数据流通过攻击主机进行转发。通过转发流量可以对流量进行控制和查看，从而控制流量或得到机密信息。

ARP防范

1、不要随意登陆免费的WiFi，没有人知道免费的WiFi是不是有恶意的攻击者在搞鬼

2、使用ARP绑定，避免被ARP欺骗

• 1、手工静态绑定
  编写一个批处理文件命名为xx.bat，将批处理文件放到“Windows→开始→程序→启动”中，如果需要立即生效，请运行此文件。批处理文件内容如下：
  @echo off
  arp －d
  arp -s 192.168.0.115 00-16-36-f7-bd-5e //ip与MAC地址根据具体情况修改。

3、开启电脑管家或者360安全卫士的ARP防火墙或者金山贝壳或者彩影ARP防火墙

4、使用https协议或者其他有保密协议的连接访问外网，避免被坑

参考文档

• https://wenku.baidu.com/view/89772efb7e192279168884868762caaedd33bade.html
• https://wenku.baidu.com/view/55efed86f71fb7360b4c2e3f5727a5e9856a27cd.html