本帖最后由 adds 于 2019-9-24 16:21 编辑
一、定义 ARP欺骗(英语:ARP spoofing),又称ARP毒化(ARP poisoning,网上上多译为ARP病毒)或ARP攻击,是针对以太网地址解析协议(ARP)的一种攻击技术,通过欺骗局域网内访问者PC的网关MAC地址,使访问者PC错以为攻击者更改后的MAC地址是网关的MAC,导致网络不通。此种攻击可让攻击者获取局域网上的数据包甚至可篡改数据包,且可让网上上特定计算机或所有计算机无法正常连线。
举个例子用白话说:你想跟A通信,结果B通过一些手段让你认为B就是A,于是你将发给A的信息给了B。
和中间人攻击的原理有些像,我站在A和B中间,代理A和B中间的会话请求,模拟A和B给对方回复信息。
二、验证 1、拓扑
说明:攻击者PC和正常PC位于同一个广播域。
2、相关信息 a.正常PC的IP参数信息:
192.168.8.64/24 192.168.8.251
b.正常PC的网关ARP表项
192.168.8.251 00-78-2b-e8-34-64
c.正常PC的上网状态
访问网络正常。
3、攻击者PC进行攻击
命令:arpspoof -i eth0 -t 192.168.8.64 192.168.8.251 arpspoof --ARP欺骗 -i --指定数据从哪个接口发出 eth0 --指定接口 -t --target,目标
192.168.8.64 --攻击目标IP 192.168.8.251 --攻击者伪造的IP
4、验证
正常PC去ping域名:
PC无法访问外网。
原因:
正常PC的网关MAC发生了变更:由00-78-2b-e8-34-64变更为00-0c-29-0c-88-f9 而攻击者接收以了正常PC的数据,并未进行数据转发。
5、如何抓取正常PC的流量
我们先开启Kali主机的数据转发功能。
将ip_forward的值修改为1,开启数据转发功能。
在第一次测试时,发现测试不成功。 怀疑是攻击者(虚拟机)和被攻击者在同一个主机 ,从同一个主机的网口出。
这次我们将攻击目标修改为192.168.9.36。
在攻击者电脑抓包分析。
可以抓到被攻击者的数据包。
在被攻击者手机上访问网站,发现可以访问网站,但发现比正常接入慢,怀疑有可能是PC虚拟机性能不太好,另一个原因是数据的传输路径更长了。
三、如何防范ARP攻击
1、静态绑定ARP 在终端上绑定网关与MAC的表项;在交换机上接口上绑定,实现一个接口只能绑定一个固定的MAC地址。
2、使用ARP防护软件
| 
发表于 2019-9-21 13:06
QQ好友和群
QQ空间
腾讯微博
腾讯朋友
来自 # 
技术专家4级 
