ARP欺骗,又称ARP毒化或ARP攻击,是针对以太网地址解析协议(ARP)的一种攻击技术,通过欺骗局域网内访问者PC的网关MAC地址,使访问者PC错以为攻击者更改后的MAC地址是网关的MAC,导致网络不通。此种攻击可让攻击者获取局域网上的数据包甚至可篡改数据包,且可让网络上特定计算机或所有计算机无法正常连线。
攻击者:kali系统,IP地址192.168.245.133
被攻击者:win10系统,IP地址 192.168.245.162
网关:192.168.245.2
利用工具:- Arpspoof:一款专业的arp断网攻击软件,能够直接欺骗网关,使得通过网关访问网络的电脑全被欺骗攻击,通过arp欺骗达到中间人嗅探和捕获数据包的目的,并替换传输中的数据,方便用户开启arp断网攻击,抢占网速等。
- Driftnet:一个监听网络流量并从它观察到的TCP流中提取图像的程序。有趣的是看到很多网络流量的主机上运行。在实验性增强中,driftnet先从网络流量中挑选出MPEG音频流,并尝试播放它们。
- Ettercap:一款有效的、灵活的中介攻击工具。它支持主动及被动的协议解析并包含了许多网络和主机特性(如OS指纹等)分析,总之可以简单理解为可以抓取数据包。
图1:被攻击者主机信息
图2:攻击者主机信息
2)如果是正常攻击时,第二步是进行局域网内地址存活探测,因本次为测试,是用虚拟机进行测试。
3)确定好攻击ip地址后,对目标ip进行转发。
命令:echo 1 >/proc/sys/net/ipv4/ip_forward
*解释:默认为0(不转发),我们改成1(为1的话目标不会断网,当然以后如果想实行断网攻击的话,可以设置回来:echo 1 >/proc/sys/net/ipv4/ip_forward)
4)接下来进行欺骗
命令:arpspoof -i eth0 -t 被攻击者ip 网关
*解释:-i后面是网卡,-t后面是目标ip,最后的填网关(让被攻击者认为攻击者的mac地址为网关的mac地址)
被攻击者的mac列表,很明显显示网关的mac地址是攻击者的mac地址。
图3:执行命令
图4:在被攻击者电脑上查看的arp信息5)进行双向欺骗,如下图(如果是2.4版本的arpspoof,此步骤可省略)命令:arpspoof -i eth0 -t 网关 被攻击者ip*解释:-i后面是网卡,-t后面填网关,最后填被攻击者ip(让网关认为攻击者的mac地址为被攻击者的mac地址)6)进行流量截取,如下图命令:driftnet -i eth0 Ettercap -Tq -i eth0效果:访问网站时抓取的图片
图5:抓取的图片访问http明文传输的网站时抓取的用户名密码
图6:抓取的用户名密码
- ARP双向绑定在pc端上IP+mac绑定在网络设备(交换路由)上采用IP+mac+端口绑定。网关也进行IP和mac的静态绑定。
- 采用支持ARP过滤的防火墙。
- 建立DHCP服务器ARP攻击一般先攻击网关,将DHCP服务器建立在网关上。
- 划分安全区域 ARP广播包是不能跨子网或网断传播的,网段可以隔离广播包。VLAN就是一个逻辑广播域,通过VLAN技术可以在局域网中常见多个子网,就在局域网中隔离了广播。缩小感染范围。但是,安全域划分太细会使局域网的管理和资源共享不方便。
2956
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
