当前位置:   article > 正文

浅析ARP断网、欺骗攻击及防御方法_arp欺骗通过什么修改字段

arp欺骗通过什么修改字段

一、ARP断网、欺骗攻击

1、ARP欺骗概述

        ARP欺骗(英语:ARP spoofing),又称ARP毒化(ARP poisoning,网上上多译为ARP病毒)或ARP攻击,是针对以太网地址解析协议(ARP)的一种攻击技术,通过欺骗局域网内访问者PC的网关MAC地址,使访问者PC错以为攻击者更改后的MAC地址是网关的MAC,导致网络不通。此种攻击可让攻击者获取局域网上的数据包甚至可篡改数据包,且可让网上上特定计算机或所有计算机无法正常连线。

2、常见方法

        常见的ARP欺骗手法:同时对局域网内的一台主机和网关进行ARP欺骗,更改这台主机和网关的ARP缓存表。攻击主机PC2发送ARP应答包给被攻击主机PC1和网关,分别修改它们的ARP缓存表, 将它们的ip地址所对应的MAC地址,全修改为攻击主机PC2的MAC地址,这样它们之间数据都被攻击主机PC2截获。

 3、环境搭建

 攻击者kali:IP地址:192.168.201.128  MAC地址:00:0c:29:15:07:6c

受害者win7主机: IP地址: 192.168.201.136 MAC: 00-0C-29-6C-3F-27

网关: IP地址:192.168.201.2  MAC地址:00-50-56-fa-b0-42

 4、工具准备

在kali机器上安装arpspoof工具,安装教程可参考本人另一篇博客:Kali系统安装arpspoof常见问题及解决方案_诗诗奶爸的博客-CSDN博客

 5、攻击步骤

 5.1 ARP断网攻击

(1)通过fping命令,查看当前局域网还存在那些主机,以确定要攻击的主机的ip地址

        fping -g 192.168.201.0/24

执行结果如下:alive表示主机存活,可进行ARP攻击

(2)在kali中使用arpspoof  –i   网卡  -t 目标ip   网关开始ARP断网攻击

执行命令: 

目标机器断网:

查看受害者机器的网关ARP信息,发现网关MAC地址已经变为攻击者kali机器的MAC地址,ARP断网攻击成功:

 

  可以发现,ARP断网攻击一旦开始网络即会中断,很容易被受害者机器察觉。为了隐藏攻击行为,黑客常使用ARP欺骗攻击监听目标机器流量,截取图片并获取目标机器的账号密码及权限。

 5.1 ARP欺骗攻击

(1)arp欺骗攻击通过修改/proc/sys/net/ipv4/ip_forward参数(默认是0,不进行转发)进行ip流量转发,不会出现断网现象。修改命令为:

echo 1  >/proc/sys/net/ipv4/ip_forward

修改完成后,数据包正常转发:

 (2)修改完成后,win7和网关通信的数据包都会流经kali,那么可以在 kali 中利用driftnet工具,可以捕获win7机器正在浏览的图片,kali系统输入操作命令:

driftnet –i eth0

 注意:这里只能看到HTTP页面的图片,无法查看HTTPS页面

(2)利用ARP欺骗获取HTTP账号密码

借助于EtterCap嗅探软件,渗透测试人员可以检测网络内明文数据通讯的安全性,及时采取措施,避免敏感的用户名/密码等数据以明文的方式进行传输,命令如下(-Tq  启动文本模式  q  安静模式 -i  网卡):

ettercap -Tq -i eth0

二、ARP攻击防御

1、静态ARP绑定(-s 表示静态 -d表示动态

arp  -s  192.168.201.2      00-50-56-fa-b0-42 

arp  -s  192.168.201.136  00-0C-29-6C-3F-27

arp  -a   查看ARP缓存表

2、使用ARP防火墙

3、使用可防御ARP攻击的核心交换机,绑定端口-MAC-IP

声明:本文内容由网友自发贡献,不代表【wpsshop博客】立场,版权归原作者所有,本站不承担相应法律责任。如您发现有侵权的内容,请联系我们。转载请注明出处:https://www.wpsshop.cn/w/笔触狂放9/article/detail/989868
推荐阅读
相关标签
  

闽ICP备14008679号