用kali自带的arpspoof进行的一次arp欺骗的过程

以下将使用arpspoof进行两种模拟攻击。

第一种是单向欺骗靶机,使靶机中的arp表的网关硬件地址从正确的硬件地址变为攻击机kali的硬件地址。从而实现流量劫持。

原理:由于arp的规则是主机只要收到一个arp请求,并不会判断真伪。而是直接将该请求的ip和硬件地址添加到自己的arp表中。若之前已经存在相同的ip的表项,则根据新的请求来更新该ip地址的硬件地址。

(1)攻击机kali

IP:192.168.153.130
硬件地址:00:0c:29:4f:50:d3

(2)被攻击机win7

IP:192.168.153.132
硬件地址:00:0c:29:1b:95:02

(3)网关

IP:192.168.153.2
硬件地址: 00-50-56-f8-ee-8d

首先看看正确的win7的arp表:
用kali自带的arpspoof进行的一次arp欺骗的过程_第1张图片

正常情况下,win7上网流量需要通过网关的转发发向目标网站。靶机通过arp协议,根据arp表的物理地址找到网关所在地址。arpspoof则伪造一个假的物理地址,将靶机的流量欺骗发往特定的主机。
ARP欺骗复现:
arpspoof的用法:

名字       
         arpspoof - 截获交换局域网中的数据包

用法
       arpspoof [-i interface] [-c own|host|both] [-t target] [-r] host

描述
       arpspoof通过伪造的ARP响应包改变局域网中从目标主机(或所有主机)到另一个主机(host)的数据包转发路径。这是交换局域网中嗅探网络流量的一种极为有效的方法。
       内核IP转发(或如fragrouter这样的、用户层面的、能完成同样功能的软件)必须提前开启。

参数
       -i interface
              指定要使用的接口(即指定一块网卡)

       -t target
              指定一个特殊的、将被ARP毒化的主机(如果没有指定,则认为是局域网中所有主机)。重复可以指定多个主机。

       -r     毒化两个主机(目标和主机(host))以捕获两个方向的网络流量。(仅仅在和-t参数一起使用时有效)

       host   host是你想要截获数据包的主机 (通常是网关)。

单向欺骗主要的参数是 -t -i。-t参数后第一个IP地址是要欺骗的主机,第二个IP地址是要伪装成的主机。-i是网卡
用kali自带的arpspoof进行的一次arp欺骗的过程_第2张图片
从左往右的含义是:发送者MAC地址:00:0c:29:4f:50:d3;接收者MAC地址:00:0c:29:1b:95:02;帧类型码:0806;包大小:42,字节;包内容:arp reply 192.168.153.2 is-at 0:c:29:4f:50:d3。
开始欺骗之后,win7不能上网。因为kali默认没有开启流量转发,/proc/sys/net/ipv4/ip_forward是配置文件,默认值是0,此时开启流量转发只需改成默认值为1。此时win7正常上网,完全发现不了有人在arp欺骗。用kali自带的arpspoof进行的一次arp欺骗的过程_第3张图片

打开wireshark,可以抓到靶机浏览的ip地址。用kali自带的arpspoof进行的一次arp欺骗的过程_第4张图片

发现182.61.200.7是百度的一个ip地址。也就是在劫持期间靶机浏览了百度。
Ctrl+z之后,被攻击机的arp表会恢复正常,因为arpspoof会发送清理包。

第二种是双向欺骗。

(1)一号靶机win7:

IP地址:192.168.153.132
mac地址:00:0c:29:1b:95:02

(2)二号靶机XP:

IP地址:192.168.153.133
mac地址:00-0C-29-AE-89-F8
用kali自带的arpspoof进行的一次arp欺骗的过程_第5张图片
可以发现kali分别给win7和xp发送欺骗的arp表,这样kali就能嗅探在win7和xp中互相通信的所有信息了。

你可能感兴趣的:(用kali自带的arpspoof进行的一次arp欺骗的过程)