网络安全:Dsniff与ARP欺骗

最新推荐文章于 2024-02-08 22:51:45 发布
最新推荐文章于 2024-02-08 22:51:45 发布
阅读量858 收藏 6
点赞数 1
分类专栏: 网络安全 文章标签: web安全 网络 macos
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_43249758/article/details/101556204
版权

文章目录

写在前面

本文主要针对的读者群体是有计算机网络基础的学习者,所以讲解不会特别详细,请有兴趣的自行学习。推荐谢希仁《计算机网络》第七版。

从ARP欺骗开始

ARP地址解析协议的要点

  1. 网络层使用的是IP地址,但在实际网络的链路上传送数据时,最终还是得用到MAC地址
  2. 在一个网络上可能经常会发生主机或适配器的变动(增,删,改)
  3. ARP协议在主机ARP高速缓存中存放一个从IP到MAC的经常更新的映射表
  4. 当主机A要向本局域网中的主机B发送IP数据报时,如果A的ARP高速缓存中有B的IP-MAC映射,就可以得到其映射的B的MAC地址,然后把这个地址写入MAC帧中,发送给B
  5. 如果A的ARP高速缓存中没有B的IP-MAC映射,那A就会在本局域网中发送一个广播分组,内容为“我的IP是IP(A),MAC是MAC(A),谁的IP是IP(B)?把你的MAC(B)发给我。”
  6. 本局域网中所有主机都收到这个分组,但只有主机B的IP与分组中询问的IP一致,所以正常情况下只有B对A作出了应答(想一想这里能干什么),应答内容是“我的IP是IP(B),我的MAC是MAC(B)”。注意这个响应分组是从B到A单播的
  7. A收到B的应答分组后就把B的IP-MAC映射写入自己的高速缓存表,下次要给B发分组时直接查表
  8. 为了解决主机和适配器增删改的问题,高速缓存表中每个映射关系都有生存时间,即不断进行更新
  9. 注意:ARP只是建立了一个局域网上的主机或路由器的IP-MAC映射关系

什么是ARP欺骗

上面说的要点,在不正常的情况下是可以这样的

  1. A的高速缓存表中本来有B的IP-MAC映射,它并没有询问哪个MAC对应的IP是IP(B),但是此时攻击者给A发送了一个分组,内容是“我的IP是IP(B),我的MAC是MAC(攻)”,这时如果没有做预防ARP欺骗的相关措施时,A就会把IP(B)-MAC(攻)的映射写入自己的高速缓存表,下次A要给B发送分组时,就直接发给了MAC(攻)。

  2. 现在考虑这样的情况:攻击机已经成功欺骗A,让A以为攻击机的IP就是IP(B)了,但此时真正的B要给A发分组了,内容为“我的MAC是MAC(B),我的IP是IP(B),我有一个内容,发给IP(A)-MAC(A)”,这时A会收到这个分组,然后对缓存表进行更新,把IP(B)-MAC(B)写入。为了解决这个问题,攻击机会不断的给A发送用于欺骗的分组,即使B偶然给A发送了分组使其进行了更新,很快就会在欺骗分组的影响下再次更新。如果B是网关,A是其下一台主机的话,在这种情况下A已经断网,它给B发送分组时全部都发到了攻击机上

那么更进一步可以怎样利用呢

攻击机频繁向靶机A发送欺骗分组,使其认为自己就是网关B,从而得到A给网关的所有流量。
这时进行流量转发,把A的请求内容以自己的名义

源MAC : MAC()
源IP : IP(A)
内容
目的IP : IP(B)
目的MAC : MAC(B)

发给网关,此时网关便建立了IP(A)-MAC(攻)的映射
网关欲将响应报文发给A
查找缓存表,找到了IP(A)-MAC(攻)的映射
然后发给了攻击机的MAC
攻击机再以自己的名义转发给靶机A
这样靶机A的所有流量就都经过这个中间人了

Kali下ARP欺骗实战

食材:
实体机(无线网卡)+Kali
或者
虚拟机+Kali+外置无线网卡

注意:虚拟机+Kali没有无线网卡应该是不行的,只能实现双向欺骗但不能进行流量转发
具体原因因为我对虚拟机网络配置的原理还不是特别清楚所以不敢妄言
但可以肯定的是我在VMWare下所有的联网方式都试过并且失败了

虚拟机适用的无线网卡在某宝上很多,关键字 kali 无线网卡
注意:懒得折腾请买免驱的
插上去主机有反应而VMWare没反应的给Kali安装一下VMWare Tools

正式开始
1.首先确保你的Kali+无线网卡和靶机接入到了同一个AP
然后看一下Kali的IP和网关

route -n

在这里插入图片描述

我的IP是192.168.137.102
网关 192.168.137.1

2.一个Kali自带的强大工具fping
更多用法
现在只用到了它的 -g参数
终端输入

fping -g 192.168.137.1/24

或者

nmap -sP 192.168.137.1/24

可以探测本网段的有效IP
后面的/24是掩码位数
现在我从中选择了一个靶机
IP:192.168.137.101
(其实是我的手机hhhh)
如果fping命令没有探测到你的目标,可能是主机作了相关配置防止被ping到
这时可以用

nmap -PN 192.168.137.101

试一下
Nmap详解
当然前提是你知道靶机的IP

3.开启流量转发(必须有网卡)

echo 1 > /proc/sys/net/ipv4/ip_forward

4.ARP欺骗

arpspoof -i wlan0 -t 192.168.137.101 192.168.137.1

-i Kali接入局域网使用的适配器名
-t 靶机ip 网关ip
执行后会不断发送ARP报文
告诉靶机192.168.137.101:
网关192.168.137.1的MAC是 攻击机MAC

5.对流量转发的一点说明

请注意流量转发不等于双向欺骗

我开始以为开启流量转发就是进行了双向欺骗,然后想到如果是这样那开两个终端双向欺骗就可以了,根本用不到无线网卡。再仔细一想,双向欺骗时,靶机向网关发出流量,实际上发给了攻击机,攻击机不会有任何响应,网关给靶机发送流量时也到了攻击机这里,同样不会有响应,所以这是不可能的,靶机同样会处于断网状态。
为了验证我的猜想,我用Wireshark进行了抓包
并没有抓到攻击机欺骗网关说它就是靶机的ARP报文
然后
在靶机192.168.137.101上ping了百度,抓了一个ICMP报文

源MAC:攻击机MAC
源IP:靶IP 192.168.137.101
目的IP:百度IP
目的MAC:网关MAC

这样在进行流量转发时就在网关的缓存表中建立了靶IP-攻击机MAC的映射

在这里插入图片描述6.Driftnet

driftnet

可以看到靶机正在通过网络浏览的图片
图一是在用手机QQ看别人的头像emmm

在这里插入图片描述图二是Kali中的driftnet显示
在这里插入图片描述driftnet原理及更多工具的使用待更

无名J0kзr
关注
专栏目录
网络空间实战攻防能力训练】ARP欺骗与防御
记录学习成长之路上的点点滴滴
10-02 121
2023/10/2 凌晨 网络空间实战攻防能力训练课程第二次实验:ARP欺骗与防御
ubuntu利用arpspoof对靶机arp欺骗
weixin_39729604的博客
10-06 1012
arp欺骗 ubuntu利用arpspoof对靶机arp欺骗 在虚拟机中对主机arp欺骗的一次简单实验。 查看各自IP 靶机IP地址:192.168.6.1: 攻击机IP地址:192.168.6.132: 安装Dsniff arpspoof属于dsniff的工具,所以先安装dsniff sudo apt install dsniff 开始arp欺骗 sudo arpspoof -t 192.168.6.1 192.168.6.2 -i ens33 攻击机wireshark抓包分分析 让靶机pi
嗅探工具 --- wireshark、tcpdump、dsniff、ettercap、bettercap、netsniff-ng、cain
热门推荐
freeking101的博客
06-11 3万+
嗅探 --- wireshark、tcpdump、dsniff、Ettercap、netsniff-ng
ARP欺骗攻击(流量&图片)——dsniff与driftnet使用
weixin_51086098的博客
09-19 4975
ARP欺骗攻击的基础练习,学会使用dsniff与driftnet进行欺骗攻击。
ARP欺骗的各种玩法
LainWith的博客
01-22 1万+
ARP欺骗 定义 ARP欺骗(英语:ARP spoofing),又称ARP毒化(ARP poisoning,网络上多译为ARP病毒)或ARP攻击,是针对以太网地址解析协议(ARP)的一种攻击技术,通过欺骗局域网内访问者PC的网关MAC地址,使访问者PC错以为攻击者更改后的MAC地址是网关的MAC,导致网络不通。此种攻击可让攻击者获取局域网上的数据包甚至可篡改数据包,且可让网络上特定计算机或所有计算机无法正常连线 关于ARP的工作原理和ARP欺骗的原理,此处不再赘述,如果不懂的话网上有大量资料,这里推荐一个我
ARP--利用arpspoof和driftnet工具进行arp欺骗
mr__sheng的博客
03-26 7899
实验目的: 1.了解ARP欺骗的原理。 2.对ARP欺骗进行进一步的认识并提出防范措施。 3. 掌握熟悉arpspoof和driftnet的使用方法。 任务与要求: 1、利用arpspoof进行ARP断网攻击 2.利用arpspoof工具和driftnet工具进行ARP欺骗 原理: ARP(Address Resolution Protocol)是地址解析协议,是一种将IP地址转化成物理地址的协议。从IP地址到物理地址的映射有两种方式:表格方式和非表格方式。ARP具体说来就...
dsniff嗅探工具
知其所以然
09-09 2327
dsniff 网站:http://www.monkey.org/~dugsong/dsniff/      dsniff 是一个高级的口令嗅探器,Dsniff将制造的数据包注入到网络,并将通信数据重新定向到攻击者的机器。在这种方式下,Dsniff允许攻击者在交换环境的网络内窃听数据,甚至在攻击者和攻击目标不在同一个Lan(局域网)的情况下,也能使攻击者收集到他想要的数据。它支持telnet
dsniff与arpspoof结合
qq_43776408的博客
10-10 350
网关--> 192.168.1.1 路人甲 --> 192.168.1.123 (CentOS6.0 + dsniff-2.3) 路人乙 --> 192.168.1.125(Cent0S6.0 + Apache + Mysql) 目的: 使用 路人甲 嗅探 路人乙 的FTP、http 登录密码 1. 使用 arpspoof 对目标机实施ARP欺骗攻击 # arpsp...
【愚公系列】2024年02月 《网络安全应急管理与技术实践》 010-网络安全应急技术与实践(网络层-无线ARP欺骗与消息监听重现分析)
最新发布
时光隧道
02-08 7万+
无线ARP欺骗(Wireless ARP Spoofing)是一种网络攻击方式,它利用ARP(地址解析协议)中的漏洞,欺骗通信双方,使其将通信数据发送给攻击者,从而实现中间人攻击。消息监听(Message Eavesdropping)则是指攻击者截获并监听通信双方之间的通信数据。以下是无线ARP欺骗与消息监听的重现分析过程:攻击者在同一局域网中启动无线ARP欺骗工具,如Ettercap、ARPwner等。攻击者扫描附近的无线网络,获取目标网络的SSID(无线网络名称)和MAC地址。
渗透测试实战之ARP欺骗攻击(ARP断网攻击)
爱玩游戏的黑客的博客
12-13 2548
渗透测试实战之ARP欺骗攻击(ARP断网攻击)
dsniff安装教程
09-25
dsniff安装教程,非常详细的,绝对有用!
kali系统使用教程
02-12
kali系统使用教程
ARP欺骗原理及实验
sjp_1996的博客
04-23 1915
ARP欺骗原理 ARP协议是地址解析协议,其作用是在以太网环境中,数据的传输所依懒的是MAC地址而非IP地址,ARP协议将已知IP地址转换为MAC地址 交换原理: 由于局域网的网络流通不是根据IP地址进行, 而是按照MAC地址进行传输、计算机是根据mac来识别一台机器,每台主机都会存在一个ARP高速缓存表,里面记录了局域网内所有主机的Mac地址,当它需要与另一个主机通信时会先查询本地ARP表,通过对方Mac地址来封装数据包, 如果本地ARP表中没有对应的Mac地址,它会向局域网发出广播“我的ip是…我的Ma
dsniff
雪辉博客
09-21 1543
Dsniff是一个工具集,主要分为四类: 纯粹被动地进行网络活动监视的工具,包括:dsniff、filesnarf、mailsnarf 、msgsnarf、urlsnarf、webspy; 针对SSH和SSL的MITM(Man-In-The-Middle)"攻击"工具,包括sshmitm和webmitm; 发起主动欺骗的工具,包括:arpspoof、dnsspoof、macof; 其它工具,包括tcpkill、tcpnice dsniff: 一个密码侦测工具,他能够自动分析端口上收到的某些协议的数据包,并
dsniff 和 Ettercap 和 bettercap网络嗅探工具包
weixin_34302561的博客
04-03 397
dsniff是纯粹被动的进行网络活动监视的工具,包括: dsniff、filesnarf、mailsnarf 、msgsnarf、urlsnarf、webspy针对SSH和SSL的MITM ( Man-In-The-Middle)“攻击”工具,包括sshmitm和webmitm发起主动欺骗的工具,包括:arpspoof、 dnsspoof、 macof其它工具,包括tcpkill、 tcpnice...
嗅探工具 --- wireshark、tcpdump、dsniff、ettercap、bettercap、netsniff-ng
墨鱼菜鸡
07-11 4989
最好的 MitM 中间人攻击开源框架清单:https://github.com/Chan9390/Awesome-MitM 哔哩哔哩:https://search.bilibili.com/all?keyword=wireshark 1、WireShark WireShark 是一个开源免费的高性能网络协议分析软件,它的前身就是非常著名的网络分析软...
dsniff工具使用
p656456564545的专栏
02-25 6157
dsniff urlsnarf 嗅探HTTP请求,输出"Common Log Format"格式 foo$ urlsnarf [-n] [-i interface]  [[-v] pattern [expression]] n 表示不反查主机名; interface 网卡接口名; pattern 表示对过滤的内容使用的
Linux安装dsniff软件包,go linux嗅探工具Dsniff安装笔记
weixin_28964423的博客
05-07 1288
wget:http://www.3est.com/linux/openssl-0.9.7i.tar.gzhttp://www.3est.com/linux/libnids-1.18.tar.gzhttp://www.3est.com/linux/libpcap-0.7.2.tar.gzhttp://www.3est.com/linux/libnet-1.0.2a.tar.gzhttp://www....
ARP欺骗渗透测试入门笔记:窃取图片与密码技巧
网络安全渗透测试中的ARP欺骗是一种常见的网络攻击手段,它利用局域网中ARP协议的漏洞,伪造IP地址和MAC地址映射关系,以达到欺骗目标设备的目的。本篇精简笔记主要针对初学者,详细解释了如何通过ARP欺骗技术来窃取...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值