浅析ARP断网、欺骗攻击及防御方法

一、ARP断网、欺骗攻击

1、ARP欺骗概述

        ARP欺骗(英语:ARP spoofing),又称ARP毒化(ARP poisoning,网上上多译为ARP病毒)或ARP攻击,是针对以太网地址解析协议(ARP)的一种攻击技术,通过欺骗局域网内访问者PC的网关MAC地址,使访问者PC错以为攻击者更改后的MAC地址是网关的MAC,导致网络不通。此种攻击可让攻击者获取局域网上的数据包甚至可篡改数据包,且可让网上上特定计算机或所有计算机无法正常连线。

浅析ARP断网、欺骗攻击及防御方法_第1张图片

2、常见方法

        常见的ARP欺骗手法:同时对局域网内的一台主机和网关进行ARP欺骗,更改这台主机和网关的ARP缓存表。攻击主机PC2发送ARP应答包给被攻击主机PC1和网关,分别修改它们的ARP缓存表, 将它们的ip地址所对应的MAC地址,全修改为攻击主机PC2的MAC地址,这样它们之间数据都被攻击主机PC2截获。

浅析ARP断网、欺骗攻击及防御方法_第2张图片

 3、环境搭建

 攻击者kali:IP地址:192.168.201.128  MAC地址:00:0c:29:15:07:6c

受害者win7主机: IP地址: 192.168.201.136 MAC: 00-0C-29-6C-3F-27

浅析ARP断网、欺骗攻击及防御方法_第3张图片

网关: IP地址:192.168.201.2  MAC地址:00-50-56-fa-b0-42

浅析ARP断网、欺骗攻击及防御方法_第4张图片

 4、工具准备

在kali机器上安装arpspoof工具,安装教程可参考本人另一篇博客:Kali系统安装arpspoof常见问题及解决方案_诗诗奶爸的博客-CSDN博客

 5、攻击步骤

 5.1 ARP断网攻击

(1)通过fping命令,查看当前局域网还存在那些主机,以确定要攻击的主机的ip地址

        fping -g 192.168.201.0/24

执行结果如下:alive表示主机存活,可进行ARP攻击

浅析ARP断网、欺骗攻击及防御方法_第5张图片

(2)在kali中使用arpspoof  –i   网卡  -t 目标ip   网关开始ARP断网攻击

执行命令: 

浅析ARP断网、欺骗攻击及防御方法_第6张图片

目标机器断网:

浅析ARP断网、欺骗攻击及防御方法_第7张图片

查看受害者机器的网关ARP信息,发现网关MAC地址已经变为攻击者kali机器的MAC地址,ARP断网攻击成功:

 浅析ARP断网、欺骗攻击及防御方法_第8张图片

  可以发现,ARP断网攻击一旦开始网络即会中断,很容易被受害者机器察觉。为了隐藏攻击行为,黑客常使用ARP欺骗攻击监听目标机器流量,截取图片并获取目标机器的账号密码及权限。

 5.1 ARP欺骗攻击

(1)arp欺骗攻击通过修改/proc/sys/net/ipv4/ip_forward参数(默认是0,不进行转发)进行ip流量转发,不会出现断网现象。修改命令为:

echo 1  >/proc/sys/net/ipv4/ip_forward

修改完成后,数据包正常转发:

浅析ARP断网、欺骗攻击及防御方法_第9张图片

 (2)修改完成后,win7和网关通信的数据包都会流经kali,那么可以在 kali 中利用driftnet工具,可以捕获win7机器正在浏览的图片,kali系统输入操作命令:

driftnet –i eth0

浅析ARP断网、欺骗攻击及防御方法_第10张图片

 注意:这里只能看到HTTP页面的图片,无法查看HTTPS页面

(2)利用ARP欺骗获取HTTP账号密码

借助于EtterCap嗅探软件,渗透测试人员可以检测网络内明文数据通讯的安全性,及时采取措施,避免敏感的用户名/密码等数据以明文的方式进行传输,命令如下(-Tq  启动文本模式  q  安静模式 -i  网卡):

ettercap -Tq -i eth0

浅析ARP断网、欺骗攻击及防御方法_第11张图片

二、ARP攻击防御

1、静态ARP绑定(-s 表示静态 -d表示动态

arp  -s  192.168.201.2      00-50-56-fa-b0-42 

arp  -s  192.168.201.136  00-0C-29-6C-3F-27

arp  -a   查看ARP缓存表

2、使用ARP防火墙

3、使用可防御ARP攻击的核心交换机,绑定端口-MAC-IP

你可能感兴趣的:(网络,服务器,运维)