3-wireshark网络安全分析——ARP欺骗攻击

目录

1. 中间人攻击

2. ARP欺骗

3. ARP欺骗过程分析

4. Wireshark专家系统分析

5. 如何防御ARP欺骗


 

 

ARP协议可参考:https://blog.csdn.net/qq_35733751/article/details/80012359

 

1. 中间人攻击

中间人攻击(Man-in-the-MiddleAttack)简称为MITM攻击,是一种比较常见的网络攻击方式,想要实施中间人攻击至少需要三个角色,其过程如下图所示:

3-wireshark网络安全分析——ARP欺骗攻击_第1张图片

所谓中间人攻击就是Client1和Client2在进行正常的网络通信时,Hacker实施中间人攻击监听Client1和Client2的通信,在这个过程中Hacker作为中间人会处理转发它们的数据信息,也就是说Client1和Client2之间依然可以正常通信,并且它们也不会发现通信过程中多了一个人。Client1以为自己是和Client2之间通信,然而实际上多了一个Hacker正在默默的监听Client1和Client2之间通信。

 

 

2. ARP欺骗

ARP欺骗就是一种典型的中间人攻击方式 ,它利用了ARP协议的缺点:没有任何认证机制。当一台主机收到一个发送方ip地址为192.168.111.139的ARP请求包时,该主机并不会对这个数据包做任何判断真伪校验,无论这个数据包是否真的来自192.168.111.139,它都会将其添加到ARP缓存表中,Hacker正是利用了这一点来冒充网关等主机。

 

以ping命令为例,139和140两台主机进行通信时:

3-wireshark网络安全分析——ARP欺骗攻击_第2张图片

 

 

139和140进行通信时会先在ARP缓存表查找140对应的ARP表项(即192.168.111.140对应的mac地址),如果没有找到则会发送ARP请求。 ip为192.168.111.139的主机首先会以广播方式发送一个ARP请求包获取192.168.111.140主机的mac地址,其内容为who has 192.168.111.140? Tell 192.168.111.139。

3-wireshark网络安全分析——ARP欺骗攻击_第3张图片

 

 

当ip为192.168.111.140的主机收到这个ARP请求包并不会做任何的真伪校验,而是直接回复一个ARP响应包把自己的mac地址告诉对方。

3-wireshark网络安全分析——ARP欺骗攻击_第4张图片

 

 

无论这个ARP请求包是否真的来自ip为192.168.111.139的主机,140都会把192.168.111.139对应的mac地址表项添加到自己的ARP缓存表中(ARP欺骗正是利用了这一缺点进行的网络攻击):

3-wireshark网络安全分析——ARP欺骗攻击_第5张图片

ARP缓存表中192.168.111.2是网关的ip地址,00-50-56-ea-03-a7是网关的mac地址。

 

 

3. ARP欺骗过程分析

在VMware中分别创建两台主机,实验环境:

1. Kali linux主机充当hacker进行安全测试,ip地址为192.168.111.139

3-wireshark网络安全分析——ARP欺骗攻击_第6张图片

 

2. Windows7是进行安全测试的目标主机,ip地址为192.168.111.140

3-wireshark网络安全分析——ARP欺骗攻击_第7张图片

 

 

搭建完环境后,在kali中进行安全测试并开启路由转发功能:

 

 

通过arpspoof工具进行ARP欺骗安全测试:

3-wireshark网络安全分析——ARP欺骗攻击_第8张图片

-i选项用于指定网卡,-t选项用于指定欺骗的目标主机ip和网关ip,当执行以上命令后arpspoof工具就会不断地发送伪造的ARP包对目标主机进行ARP欺骗。

 

 

在Kali linux主机上进行wireshark抓包,分析ARP欺骗攻击的过程:

3-wireshark网络安全分析——ARP欺骗攻击_第9张图片

在wireshark抓包中,ARP响应包中Sender MAC address字段里封装的MAC地址不是网关192.168.111.2的mac地址,而是kali linux主机的MAC地址,也就是说这个ARP响应包实际上是伪造的

 

 

再查看被攻击的目标主机ARP缓存表:

3-wireshark网络安全分析——ARP欺骗攻击_第10张图片

在前面的实验环境中我们知道192.168.111.2网关对应的mac地址是00-50-56-ea-03-a7,当kali linux主机进行ARP欺骗后,ARP缓存表中网关对应的mac地址变成了00-0c-29-03-25-67,但这个mac地址实际上是kali linux主机的mac地址,目标主机收到这个ARP响应包并没有做任何的判断,而是直接接收数据包,包括在wireshark抓包工具中也间接证明了ARP协议的一重大缺点:ARP协议缺少对数据包的判断校验安全机制,hacker也就可能利用这个漏洞来冒充网关

 

4. Wireshark专家系统分析

通常在一个网络中如果出现了大量的ARP数据包是不太正常的,可以通过wireshark抓包工具的专家系统功能分析当前网络的问题所在。

 

在wireshark抓包工具的菜单栏中选择:分析-->专家信息,如下所示:

3-wireshark网络安全分析——ARP欺骗攻击_第11张图片

在专家信息功能中可以看到有一段警告级别为Warning级别的ARP数据包,wireshark给出的警告提示Duplicate IP address configure,说明检测到了重复的IP地址配置,我们重点关注25和26两个数据包。

 

 

以Frame 25数据包为例:

3-wireshark网络安全分析——ARP欺骗攻击_第12张图片

Wireshark检测到了ip地址192.168.111.2 有重复的配置,在这个数据包中192.168.111.2使用的mac地址是00-50-56-ea-03-a7,在之前192.168.111.2使用的mac地址是00-0c-29-03-25-67,在这两个mac地址其中有一个肯定是伪造的mac地址,一般来说如果有大量的ARP响应包出现同一个mac地址,那么这个mac地址极有可能是伪造的。

 

 

5. 如何防御ARP欺骗

当一个网络中出现大量的ARP数据包会有以下几个原因:

  1. 当前网络存在ARP主机扫描
  2. 当前网络存在ARP病毒
  3. 当前网络存在ARP欺骗攻击

 

 

防御ARP欺骗的措施:

  1. arp -s命令静态绑定ARP表,但不适用大型网络
  2. 使用交换机DHCP-Snooping技术或者端口安全技术
  3. 划分VLAN

 

你可能感兴趣的:(wireshark网络分析)