使用wireshark进行arp欺骗检测

想要检测arp欺骗,就必须再次温习一下arp欺骗的原理和细节。

ARP欺骗(英语:ARP spoofing),又称ARP毒化ARP poisoning,网上上多译为ARP病毒)或ARP攻击,是针对以太网地址解析协议(ARP)的一种攻击技术,通过欺骗局域网内访问者PC的网关MAC地址,使访问者PC错以为攻击者更改后的MAC地址是网关的MAC,导致网络不通。此种攻击可让攻击者获取局域网上的数据包甚至可篡改数据包,且可让网上上特定计算机或所有计算机无法正常连线。

ARP欺骗的运作原理是由攻击者发送假的ARP数据包到网上上,尤其是送到网关上。其目的是要让送至特定的IP地址的流量被错误送到攻击者所取代的地方。因此攻击者可将这些流量另行转送到真正的网关(被动式数据包嗅探,passive sniffing)或是篡改后再转送(中间人攻击,man-in-the-middle attack)。攻击者亦可将ARP数据包导到不存在的MAC地址以达到阻断服务攻击的效果,例如netcut软件。

ARP欺骗的特征就是不断的发arp包,让被攻击主机相信并修改arp表。

那么我们使用wireshark开启混杂模式后,只需抓取arp类型的包,看密集程度。一旦出现攻击态势,我们可快速对攻击和被攻击双方进行定位。

打开wireshark:

使用wireshark进行arp欺骗检测_第1张图片

一切正常。

下面我们打开ettercap进行arp欺骗,细节不再赘述。

使用wireshark进行arp欺骗检测_第2张图片

打开wireshark:

使用wireshark进行arp欺骗检测_第3张图片

可以看到,被欺骗的目标主机不断询问,但得到的结果都是攻击机的ip,使得攻击机实现了中间人攻击的目的,且双方的细节内容都可被查看。

 

继续加油。

你可能感兴趣的:(网络信息安全)