【IT运维那些事儿】一句命令实现ARP欺骗

活动详情：【分享大比拼】“IT运维那些事儿”有奖征集--来为你喜欢的文章打CALL

   

---

一、定义

    ARP欺骗（英语：ARP spoofing），又称ARP毒化（ARP poisoning，网上上多译为ARP病毒）或ARP攻击，是针对以太网地址解析协议（ARP）的一种攻击技术，通过欺骗局域网内访问者PC的网关MAC地址，使访问者PC错以为攻击者更改后的MAC地址是网关的MAC，导致网络不通。此种攻击可让攻击者获取局域网上的数据包甚至可篡改数据包，且可让网上上特定计算机或所有计算机无法正常连线。

   举个例子用白话说：你想跟A通信，结果B通过一些手段让你认为B就是A，于是你将发给A的信息给了B。

    和中间人攻击的原理有些像，我站在A和B中间，代理A和B中间的会话请求，模拟A和B给对方回复信息。

   二、验证

  1、拓扑

   

  说明：攻击者PC和正常PC位于同一个广播域。

   2、相关信息

   a.正常PC的IP参数信息：

   

   192.168.8.64/24 192.168.8.251

   b.正常PC的网关ARP表项

　

　192.168.8.251 00-78-2b-e8-34-64

    c.正常PC的上网状态

   

   访问网络正常。

   3、攻击者PC进行攻击

   

   命令：arpspoof -i eth0 -t 192.168.8.64 192.168.8.251

   arpspoof                --ARP欺骗

   -i                            --指定数据从哪个接口发出

   eth0                       --指定接口

   -t                            --target，目标

   192.168.8.64          --攻击目标IP

   192.168.8.251        --攻击者伪造的IP

   4、验证

   正常PC去ping域名：

   

   PC无法访问外网。

   

   原因：

   正常PC的网关MAC发生了变更：由00-78-2b-e8-34-64变更为00-0c-29-0c-88-f9

   而攻击者接收以了正常PC的数据，并未进行数据转发。

   5、如何抓取正常PC的流量

   我们先开启Kali主机的数据转发功能。

   

  将ip_forward的值修改为1，开启数据转发功能。

  在第一次测试时，发现测试不成功。

  怀疑是攻击者（虚拟机）和被攻击者在同一个主机 ，从同一个主机的网口出。

  这次我们将攻击目标修改为192.168.9.36。

  

  在攻击者电脑抓包分析。

  

   可以抓到被攻击者的数据包。

   在被攻击者手机上访问网站，发现可以访问网站，但发现比正常接入慢，怀疑有可能是PC虚拟机性能不太好，另一个原因是数据的传输路径更长了。

   三、如何防范ARP攻击

   1、静态绑定ARP

        在终端上绑定网关与MAC的表项；在交换机上接口上绑定，实现一个接口只能绑定一个固定的MAC地址。

   2、使用ARP防护软件