ARP协议

ARP协议工作原理

arp
地址解析协议，是根据IP地址获取物理地址的一个tcp/ip协议
工作原理
协议规定，每台计算机都需要一个arp表，用来保存IP地址和物理地址的映射关系
访问IP地址的时候就会去查arp表，从而找到对应的物理地址

ARP协议的作用

网络中的数据传输所以来的是物理地址，ARP负责把IP地址转换为物理地址
arp协议的主要工作就是建立，查询，更新，删除arp表项
无需人为干涉，一直在进行轮询和应答

ARP常用命令

• arp -a
  查询arp表
• arp -d 删除的IP地址
  删除表里的对应的关系
• tcpdump -i 网卡名 -nn arp
  tcp抓某块网卡的所有arp请求
• tcpdump -i -nn and host 主机IP地址

ARP请求

是一直不间断的在自动的发送
1.主动询问网段下的IP地址的物理地址
2.主动告诉别人我的IP地址和物理地址
3.根据应答结果实时更新ARP表的绑定关系

ARP断网攻击

计算机上网

计算机之间的通信时通过发送和接受被拆分数据包
kali
10.203.87.188
00:0c:29:ac:d5:14
win10
10.203.87.136
路由器
就是网关地址:10.203.87.254

计算机上网的过程：
内网IP是不可以直接访问外网IP的，比如当从计算机发送一个ping命令，就是发送数据包，不会直接把数据包发送到百度上，而是将数据包发送给了同时拥有内网IP和外网IP的路由器的内网IP，内网IP会通过路由映射关系表将数据包丢给外网IP，外网IP再把数据包发送给百度的服务器，百度在收到ping命令，会返回一个数据包，这个数据包以同样的路线返回给计算机

arp断网攻击原理

向目标主机不断发送arp报文，然后将其报文中的网关物理地址设置成为攻击者的主机物理地址
然后目标主机想要访问网络发送数据包时，都会发送到攻击机
然后攻击机子需要做一个丢弃数据包的命令，就可以断掉目标主机的网络了

arpspoof

是一个arp欺骗工具，攻击者通过毒化受害者的arp缓存，将网关的物理地址替换成攻击者的物理地址
然后攻击者可截获受害者发送和接收到的数据包，从而获取受害者的账户，密码等信息

• arpspoof -i 网卡名 -c 攻击机的IP -t 目标机的IP -r 网关的IP

安装工具

• apt-get install dsniff

• arpspoof

具体攻击

准备工作

确保两台机器在同一局域网
查看kali的IP
物理地址：00:0c:29:ac:d5:14

查看windows的IP

win10 ping kali

win10查看arp表，记录网关信息
arp - a | findstr 10.203.87.254
网关的物理地址：00-1a-a9-15-4e-bd

kali进行断网攻击

arpspoof -i eth0 -r 10.203.87.254 -t 10.203.87.136

查看网络连接

在win10下ping 百度

浏览器上网

查看win10的arp表

发现该网关的物理地址已经被修改成kali攻击机的物理地址了

结束断网攻击

ctrl + c

重新查看

断开攻击后，成功上网

arp断网分析

攻击时发送的数据包

arp攻击机 不停的告诉 网关 win10的物理地址是 00-0c-29-ac-d5-14
arp攻击机 不停的告诉 win10 网关的物理地址是 00-0c-29-ac-d5-14

arp攻击机 重新告诉 win10 网关的物理地址是 0:1a:a9:15:4e:bd
arp攻击机 重新告诉 网关 win10的物理地址是 34:97:f6:24:b3:5f