基于P2P终结者的ARP欺骗攻击实验

最新推荐文章于 2024-09-26 11:24:27 发布
最新推荐文章于 2024-09-26 11:24:27 发布
阅读量2.1k 收藏 14
点赞数 3
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_43915762/article/details/86599197
版权

ARP协议

TCP/IP协议栈中,最不安全的协议莫过于是“ARP协议”了。

ARP(Address Resolution Protocol 地址解析协议)用于实现从IP地址到MAC地址的映射。

ARP协议的不安全性的原因是:它是建立在局域网中所有主机完全信任的基础上的,即其前提为所有在局域网中传送的ARP数据包都是正确。那么一旦局域网中存在着恶意或者非法者,就会出现网络安全隐患。当攻击源向局域网中大量发送虚假的ARP信息后,就会造成局域网中的机器ARP缓存的崩溃或主机ARP缓存信息错误。

ARP协议工作原理

(注:图片摘于网上)

当两台主机PC1和PC2需要通信时,需要填写源IP地址(IP1)、源MAC地址(MAC1)和目的IP地址(IP2)、目的MAC地址(MAC2)。

当数据包在发送方(PC1)进行封装时,并不知道接收方(PC2)的MAC地址,只知道PC2的IP地址。此时ARP协议就开始起作用了。

在这里插入图片描述
发送方(PC1)会在局域网内发送ARP请求包,广播询问:我的IP地址是IP1,MAC地址是MAC1,请问谁是IP2,IP2对应的MAC地址是多少?
IP地址为IP2的主机接收到该广播包后即单播回复:我的IP地址为IP2,我的MAC地址是MAC2。并且在ARP缓存表中存储IP1—MAC1的映射关系

最后在PC1封装时,即可将MAC2填入数据包中进行传输。并且在PC1的ARP缓存表中会存储 IP2—MAC2 的映射关系,方便下次传输数据包。

注:一般情况下,只有IP地址对应的主机才会回复广播包,其余主机一般都将广播包丢弃;而ARP应答数据包是采用单播,因为在ARP请求包中带有源IP地址和源MAC地址;被询问者PC2会先生成ARP映射信息,然后才是询问者PC1。

ARP数据包解析(通过WireShark抓取)

  • ARP请求包(广播)
    ARP请求包

  • ARP回应包(单播)
    ARP回应包

ARP协议字段解读
  • Hardware type :硬件类型,标识链路层协议
  • Protocol type: 协议类型,标识网络层协议
  • Hardware size :硬件地址大小,标识MAC地址长度,这里是6个字节(48bti)
  • Protocol size: 协议地址大小,标识IP地址长度,这里是4个字节(32bit)
  • Opcode: 操作代码,标识ARP数据包类型,1表示请求(request),2表示回应(reply)
  • Sender MAC address :发送者MAC
  • Sender IP address :发送者IP
  • Target MAC address :目标MAC,此处全0表示在请求,尚不知道目标MAC地址
  • Target IP address: 目标IP

ARP攻击原理

ARP攻击
PC1跟PC2通信,通过ARP请求包询问PC2的MAC地址,因为ARP请求包是采用广播形式,故交换机会将ARP请求包向各个接口转发。

正常情况下,若收到的ARP请求包中的IP地址与自己不符,会直接丢弃。但这里的PC3在监听后,发送了ARP回应包:我的IP地址是IP2,我的MAC地址是MAC3。形成了 IP2—MAC3的错误映射。

同时,PC2在收到给自己的ARP请求包时也会回应,故PC1会收到两个ARP回应包,分别是

  • 来自PC2的回应包:我是PC2,我的IP地址是IP2,我的MAC地址是MAC2
  • 来自PC3的回应包:我是PC2,我的IP地址是IP3,我的MAC地址是MAC3

ARP缓存遵循的是“后到优先原则”,即会以最后一个得到的最新的ARP回应包作为缓存内容。而攻击者(PC3)只需要不断的发送ARP欺骗包,就能覆盖PC2的回应包,从而在PC1中形成 IP2—MAC3 的错误映射。

之后当PC1要与PC2通信时,在目的MAC中填写的就是MAC3,而交换机会根据MAC缓存将数据包发送给PC3,从而形成ARP攻击。

ARP攻击实验

工具:P2P终结者、VMware虚拟机、WireShark抓包软件。

网络:Windows Server 2003(IP:192.168.229.132、MAC:00-0C-29-EF-11-33);Windows XP(IP:192.168.229.130、00-0C-29-FF-E1-B2)、网关(IP:192.168.229.2)

流程:在Windows Server 2003上运行了P2P终结者进行ARP攻击,并通过WireShark抓包窃取局域网内其他用户的信息。

1. 打开P2P终结者,选择网卡;打开WireShark,选择相应的网卡进行监听

在这里插入图片描述

2. 点击扫描网络,获取本局域网内的主机信息

扫描网络

此时可在WireShark中抓取到大量的ARP请求包
在这里插入图片描述

此时两主机的ARP缓存如下

  • Windows Server 2003
    Windows Server 2003 ARP缓存表信息

  • Windows XP
    Windows XP ARP缓存表信息

3. 点击启动提速,会发送大量的ARP欺骗包,欺骗他人说:我(Windows Server 2003)就是网关,即把该局域网内的所有主机ARP缓存中的网关的MAC改为攻击者的MAC,导致所有发往网关的数据报都会先流过攻击者的网卡,攻击者可用WireShark获取当中的信息

启动提速

可在WireShark中抓取到大量的ARP欺骗包
即网关(192.168.229.2)的MAC地址是攻击者主机的MAC地址
ARP欺骗包

此时观察Windows XP的ARP缓存表,发现网关(192.168.229.2)的MAC地址已经变为了攻击者(Windows Server 2003)的MAC地址

4. 在Windows XP中ping 114.114.114.114,Windows Server 2003(攻击者)可使用WireShark通过ICMP过滤在Windows Server 2003的网卡中获取来自Windows XP(源IP地址是192.168.229.130)的数据包

在这里插入图片描述

5. 在Windows XP上输入telnet route-server.ip.att.net 登录国外的一台公共服务器,输入账号:rviews;密码:rviews。

输入账号密码
在Windows Server 2003上过滤telnet,并使用“follow tcp stream”功能可窃取到Windows XP用户输入的账号密码
窃取账号密码
窃取账号密码

YT--98
关注
使用JAVA通过ARP欺骗类似P2P终结者实现数据封包监听
09-05
目前网络上类似P2P终结者这类软件,主要都是基于ARP欺骗实现的,网络上到处都有关于ARP欺骗的介绍,不过为了本文读者不需要再去查找,我就在这里大概讲解一下
arp欺骗p2pover.rar
09-19
arp欺骗p2pover
ensp进行arp欺骗实验
最新发布
2303_76902210的博客
09-26 440
当局域网主机之间要通信却只知道网关的ip地址,不知道mac地址时,就会发送一个arp协议包,arp协议会通过发送广播询问局域网内的主机的IP所对应的mac地址,对应主机收到包后会回一个arp确认包,建立一个ip-mac地址表,我们可以伪造arp包来让我们的主机成为网关,从而通信或者窃听流量。这个时候出现了两个mac地址,但是只要脚本已停止,动态的那个mac地址就会消失。Ping外网然后得到网关的mac。现在看见网关的mac已经改变。就是我kali的mac地址。使用静态ip-mac地址表。
基于P2P终结者的ARP攻击实践(截取数据&获取上网账号密码)
行动、坚持。
01-22 4905
1、实验目的 使用P2P终结者/Ettercap/Cain攻击 用wireshark抓包分析ARP扫描和ARP扫描和ARP欺骗 用Wireshark抓取上网账号密码 2、实验环境 网络:winserver 2003 <–>Win XP ,两台主机同处一个局域网,能互相ping通 角色:Win Server 2003 安装P2P终结者模拟黑客,Win XP模拟肉鸡/靶机 3、实验流程 启动P2P终结者,选择”智能选择网卡“ P2P终结者自动识别网络中其他主机 启动Win 2
[原创]简单防范ARP攻击,突破(P2P终结者)下载控制。
weixin_30328063的博客
10-05 132
当受到ARP攻击时,ARP -A 可以发现 有两个IP地址对应一个MAC地址(一个是网关的,另一个是攻击者的),且都是动态的。 通过ARP -S可以将网关IP设置为静态的。 前提条件需要知道网关的MAC地址。当受到ARP攻击P2P终极者)不能访问网络时。并不断提示IP冲突。 1。arp ...
总结网络执法官,p2p终结者等网管软件使用arp欺骗的防范方法
weixin_34130269的博客
08-28 181
首先介绍一个超好的防火墙给大家:Outpost Firewall 它可以防护p2p终结者等恶意软件..效果超好..还能查出局域网哪台机在使用,这个防火墙功能强大,占用资源少,个人评分5个星.大家可以上网查找一下.这几天很郁闷,同一个局域网的同学经常使用p2p终结者来限制网内用户的流量,搞的大家都很恼火,但是归于是同学,也不好明说,后来借助霏凡论坛的搜索功能,成功解决了这个...
eNSP之ARP欺骗
Shass的博客
11-06 4252
eNSP之ARP欺骗 本文主要介绍eNSP结合Evil FOCA软件模拟ARP欺骗ARP欺骗原理 如下图,攻击者PC3不断发送错误的MAC更新信息,使通信双方PC1和PC2都认为对方的MAC地址是00-0C-29-33-33-33,实际上PC3以中间人的身份截获了双方的数据。 使用Evil FOCA进行ARP欺骗实验 1、Evil FOCA介绍 1)EvilFoca是Windows环境下基于.NET FrameWork的一款轻量级的劫持测试工具。 2)与Kali下复杂的命令相比,EvilFoca更加小
P2P终结者
05-16
总的来说,P2P终结者是一款针对企业网络环境的带宽管理工具,通过ARP欺骗技术来限制P2P下载的带宽占用,从而维护网络的稳定和高效。在实际操作中,使用者需要了解其工作原理和潜在风险,合理部署和使用。
p2p终结者
03-01
P2P终结者是一种网络管理软件,它通过ARP欺骗技术来限制局域网内其他用户P2P下载或上传速度,从而保护网络带宽不被过度占用。然而,对于那些需要使用P2P服务的用户来说,这种限制可能造成不便,因此反p2p终结者...
局域网IP与MAC绑定防ARP攻击P2P终结者
首先,作者强调了IP与MAC绑定的重要性,它可以防止arp欺骗,保护用户的网速不受恶意软件如P2P终结者的影响。 文档详细步骤如下: 1. 查看路由信息:在命令提示符中输入`arp/a`,可以找到路由的IP地址(通常为192....
如何防止p2p终结者对局域网网速的控制.docx
09-27
首先,有一种反P2P终结者的工具,但它可能只能暂时解决问题,因为攻击者可以再次发起ARP欺骗。另一种更有效的方法是安装像360安全卫士这样的安全软件,这些软件能够检测并防御ARP欺骗,保护用户的网络不受P2P终结者...
SDN中的缓解ARP欺骗攻击
02-05
ARP缓存中毒攻击缓解器SDN POX SDN控制器上的ARP欺骗缓解模块。 产品特点 防止LAN攻击者以很少的开销中毒节点的缓存表条目。 防止恶意数据包进入网络。 建立 ARPspoofperf.py使用检测模块创建测试设置。 ARPspoofperfwithoutsol.py创建没有检测模块的测试设置。 l2_learning_arp_mitigation.py在POX控制器上具有ARP缓解模块。 算法: 请参考 怎么跑 使用./pox.py log.level --DEBUG proto.dhcpd --network = 10.1.1.0 / 24 --ip = 10.1.1
解决网络执法官,网络剪刀手,p2P终结者之类软件原理和简单破法
12-18
解决网络执法官,网络剪刀手,p2P终结者之类软件原理和简单破法 这个方法来自网络,我已经试过,非常棒
使用 eNSP 模拟交换机防御 ARP 泛洪攻击
Flag少侠的博客
03-31 2619
ARP(地址解析协议)泛洪攻击是一种网络攻击手法,利用 ARP 协议的工作方式来实施。ARP 协议用于将 IP 地址映射到 MAC 地址,以便在局域网中发送数据包。ARP 泛洪攻击的基本原理是向网络中广播大量伪造的 ARP 请求,欺骗目标主机将其 ARP 缓存表中的 IP 地址映射到攻击者控制的 MAC 地址上,导致数据包被发送到错误的目标,从而实现网络中断或拒绝服务(DoS)的攻击目的。:通过欺骗网络中的设备,使其无法正确识别其他设备的 MAC 地址,导致网络通信中断。
利用P2P网络发动大规模、大流量DDOS攻击
Coisini的博客
06-04 1052
提示:这是2007年05月31日的新闻了……,其实此技术在2004年有提出,不过貌似一直无人研究…… 利用,P2P,网络,发动,大规模,大流量,超大流量,DDOS,攻击,DOS,网络攻击,僵尸网络,P2P,网络,发动大规模,大流量,DOS,网络攻击,DDOS. 利用 P2P 网络发动大规模、超大流量 DDOS 网络攻击,一切猥琐、大规模、超大威力的技术均是我们研究对象…… 据国外媒体报道,专家近...
基于Ensp Arp模拟欺诈攻击实验
weixin_63058714的博客
10-02 1006
ensp模拟实验
DDOS攻击,BT应用,ARP攻击
bluishocean的专栏
03-29 793
DOS攻击就是通过合理请求占用太多的资源DDOS就是利用分布式的主机,大量进行请求,造成网络数据包泛滥,造成网络拥塞可以利用TCP包头,利用UDP包头,利用对服务器端连接请求进行攻击用网络分析仪分析,就是只有发包,没有收包BT应用,正常场景下收发报数都很大ARP攻击,注意是利用物理地址进行传送,特点是在分析ARP时候,正常情况收发包数量应该一致,但是如果相差较大就是有问题
DDoS攻击
weixin_30848775的博客
07-10 165
分布式拒绝服务(DDoS:Distributed Denial of Service)攻击指借助于客户/服务器技术,将多个计算机联合起来作为攻击平台,对一个或多个目标发动DDoS攻击,从而成倍地提高拒绝服务攻击的威力。通常,攻击者使用一个偷窃帐号将DDoS主控程序安装在一个计算机上,在一个设定的时间主控程序将与大量代理程序通讯,代理程序已经被安装在网络上的许多计算机上。代理程序收到指令...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值