浅析ARP断网、欺骗攻击及防御方法

一、ARP断网、欺骗攻击

1、ARP欺骗概述

        ARP欺骗（英语：ARP spoofing），又称ARP毒化（ARP poisoning，网上上多译为ARP病毒）或ARP攻击，是针对以太网地址解析协议（ARP）的一种攻击技术，通过欺骗局域网内访问者PC的网关MAC地址，使访问者PC错以为攻击者更改后的MAC地址是网关的MAC，导致网络不通。此种攻击可让攻击者获取局域网上的数据包甚至可篡改数据包，且可让网上上特定计算机或所有计算机无法正常连线。

2、常见方法

        常见的ARP欺骗手法：同时对局域网内的一台主机和网关进行ARP欺骗，更改这台主机和网关的ARP缓存表。攻击主机PC2发送ARP应答包给被攻击主机PC1和网关，分别修改它们的ARP缓存表, 将它们的ip地址所对应的MAC地址，全修改为攻击主机PC2的MAC地址，这样它们之间数据都被攻击主机PC2截获。

 3、环境搭建

 攻击者kali：IP地址：192.168.201.128  MAC地址：00:0c:29:15:07:6c

受害者win7主机： IP地址： 192.168.201.136 MAC: 00-0C-29-6C-3F-27

网关： IP地址：192.168.201.2  MAC地址：00-50-56-fa-b0-42

 4、工具准备

在kali机器上安装arpspoof工具，安装教程可参考本人另一篇博客：Kali系统安装arpspoof常见问题及解决方案_诗诗奶爸的博客-CSDN博客

 5、攻击步骤

 5.1 ARP断网攻击

（1）通过fping命令，查看当前局域网还存在那些主机，以确定要攻击的主机的ip地址

        fping -g 192.168.201.0/24

执行结果如下：alive表示主机存活，可进行ARP攻击

（2）在kali中使用arpspoof  –i   网卡  -t 目标ip   网关开始ARP断网攻击

执行命令： 

目标机器断网：

查看受害者机器的网关ARP信息，发现网关MAC地址已经变为攻击者kali机器的MAC地址，ARP断网攻击成功：

 

  可以发现，ARP断网攻击一旦开始网络即会中断，很容易被受害者机器察觉。为了隐藏攻击行为，黑客常使用ARP欺骗攻击监听目标机器流量，截取图片并获取目标机器的账号密码及权限。

 5.1 ARP欺骗攻击

（1）arp欺骗攻击通过修改/proc/sys/net/ipv4/ip_forward参数（默认是0，不进行转发）进行ip流量转发，不会出现断网现象。修改命令为：

echo 1  >/proc/sys/net/ipv4/ip_forward

修改完成后，数据包正常转发：

 （2）修改完成后，win7和网关通信的数据包都会流经kali，那么可以在 kali 中利用driftnet工具，可以捕获win7机器正在浏览的图片，kali系统输入操作命令：

driftnet –i eth0

 注意：这里只能看到HTTP页面的图片，无法查看HTTPS页面

（2）利用ARP欺骗获取HTTP账号密码

借助于EtterCap嗅探软件，渗透测试人员可以检测网络内明文数据通讯的安全性，及时采取措施，避免敏感的用户名/密码等数据以明文的方式进行传输，命令如下（-Tq  启动文本模式  q  安静模式 -i  网卡）：

ettercap -Tq -i eth0

二、ARP攻击防御

1、静态ARP绑定（-s 表示静态 -d表示动态）

arp  -s  192.168.201.2      00-50-56-fa-b0-42 

arp  -s  192.168.201.136  00-0C-29-6C-3F-27

arp  -a   查看ARP缓存表

2、使用ARP防火墙

3、使用可防御ARP攻击的核心交换机，绑定端口-MAC-IP