网络应用实例(一)ARP攻击

ARP攻击(网关)

 

一、实验环境

二、实验原理

1.ARP协议

2.ARP缺陷

3.ARP攻击症状

4.ARP攻击形式

5.ARP攻击防御

三、ARP攻击

1.基本信息收集

2.连通性测试

3.Windows7上网测试

4.ARP攻击

5.查看攻击效果

四、ARP攻击的防御

1.Kali停止攻击,查看网关Mac地址

2.Mac地址绑定

3.执行ARP攻击

4.查看网关Mac地址


一、实验环境

1.攻击机:Kali Linux

2.靶  机:Windows 7

3.网卡连接:NAT(Vmnet 8)

4.IP地址:自动获取(通过Vmware软件自动分配IP地址)

二、实验原理

1.ARP协议

  • Address Resolution Protocol,地址解析协议

  • 位于TCP/IP协议栈中的网络层,负责将某个IP地址解析成对应MAC地址。

  • 一台主机和另一台主机通信,要知道目标的IP地址,但是在局域网中传输数据的网卡却不能直接识别IP地址,所以用ARP解析协议将IP地址解析成MAC地址。ARP协议的基本功能就是通过目标设备的IP地址,来查询目标设备的mac地址

2.ARP缺陷

  • ARP协议建立在信任局域网内所有节点的基础上,具有高效率,但不安全。
  • 无状态的协议,不会检查自己是否发过请求包,不管是否是合法的应答,只要收到的目标MAC地址是自己的ARP reply或者ARP广播包(包括ARP reply和ARP request),都会接受并缓存。

3.ARP攻击症状

  • 打开网页速度非常慢,甚至打不开
  • 提示IP地址冲突
  • 甚至导致校园网瘫痪断网
  • 一般会绑定木马病毒,窃取用户账号密码

4.ARP攻击形式

>从内部协议分析

  • 假冒ARP reply包(单波或广播),向单台主机或多台主机发送虚假的IP/MAC地址
  • 假冒ARP request包(单播或广播),实际上是单播或广播虚假的IP、MAC映射
  • 假冒中间人,启用包转发向两端主机发送假冒的ARP reply,由于ARP缓存的老化机制,有时还需要做周期性连续性欺骗

>从影响网络连接通畅的角度看

  • 对路由ARP表的欺骗(截获网关数据,让路由器获得错误的内网MAC地址,导致路由器把数据发送给错误的MAC,使内网内的主机断网)
  • 伪造内网网关(冒充网关,使内网计算机发送的数据无法到达真正的路由器网关,导致内网计算机断网)

5.ARP攻击防御

  •  ARP双向绑定(在pc端上:IP+mac 绑定,在网络设备/交换路由上:采用ip+mac+端口绑定,网关也进行IP和mac的静态绑定)
  • 采用支持ARP过滤的防火墙
  • 建立DHCP服务器(ARP攻击一般先攻击网关,将DHCP服务器建立在网关上)
  • 划分安全区域(ARP广播包是不能跨子网或网段传播的,网段可以隔离广播包。VLAN就是一个逻辑广播域,通过VLAN技术可以在局域网中创建多个子网,就在局域网中隔离了广播,缩小感染范围。)

三、ARP攻击

1.基本信息收集

Kali:    ifconfig  eth0    #查看Kali的IP
Windows7:   ipconfig  /all    #查看IP,网关
             arp -a    #查看近期局域网内与本机有过通信的其他主机
                       #查看网关对应Mac地址

网络应用实例(一)ARP攻击_第1张图片

网络应用实例(一)ARP攻击_第2张图片

网络应用实例(一)ARP攻击_第3张图片

  • 两台主机处于同一网段:192.168.10.0/24
  • Kali主机IP地址:192.168.10.128
  • Windows 7 IP地址:192.168.10.130
  • Windows 7 网关:192.168.10.2
  • Windows 7 网关所对应的Mac地址:00-50-56-ea-e2-cd

2.连通性测试

Windows7:    关闭防火墙
Kali Linux:  ping  Windows7的IP地址

网络应用实例(一)ARP攻击_第4张图片

网络应用实例(一)ARP攻击_第5张图片

3.Windows7上网测试

打开IE浏览器 ——> 在地址栏中输入 ——> http://www.baidu.com(能看到百度页面)

网络应用实例(一)ARP攻击_第6张图片

4.ARP攻击

arpspoof -i eth0 -t 192.168.10.130 -r 192.168.10.2

    #arpspoof -i eth0 -t Win7的IP地址 -r 网关地址或内网中其他主机的IP地址

网络应用实例(一)ARP攻击_第7张图片

5.查看攻击效果

Windows7:    arp -a

网络应用实例(一)ARP攻击_第8张图片

  • 查看网关的MAC地址是否已经变化,有变化,说明攻击成功

  • 此处攻击成功

四、ARP攻击的防御

1.Kali停止攻击,查看网关Mac地址

Kali Linux:    终止ARP攻击
Windows 7:    arp -a 

网络应用实例(一)ARP攻击_第9张图片

  • 网关MAC地址重新变回正确的地址

2.Mac地址绑定

arp -s 192.168.10.2 00-50-56-ea-e2-cd
    #arp -s 网关IP地址 网关的正确MAC地址
    #arp -s ip mac 手动修改,实现IP、MAC的绑定操作

^一般执行上述命令即可绑定成功
————————————————————————————————————————————————
>若绑定未成功,则使用以下命令

netsh i  i show in
    #查看本地连接的Idx(两个i之间有两个空格)
netsh -c "i  i" add neighbors 11 "192.168.10.2" "00-50-56-ea-e2-cd"
    #绑定Mac地址(neighbors后为本地连接的Idx)
arp -a
    #查询绑定后信息

网络应用实例(一)ARP攻击_第10张图片

  • 此时可以看到网关的地址类型已经变成了静态

3.执行ARP攻击

arpspoof -i eth0 -t 192.168.10.130 -r 192.168.10.2

网络应用实例(一)ARP攻击_第11张图片

4.查看网关Mac地址

网络应用实例(一)ARP攻击_第12张图片

  • 查看网关MAC地址是否被改变,如果未改变,说明MAC地址的静态绑定成功了

你可能感兴趣的:(网络应用实例)