当前位置: 首页 > news >正文

ARP欺骗

MAC地址

    一般我们称为物理地址,它是以太网或网络适配器的唯一标识符,MAC地址能够区分不同的网络接口,并使用多种网络技术,

   MAC地址长48bit,在使用网卡(NIC)的情况下,MAC地址一般都会输入到ROM中,所以任何一个网卡的MAC地址都是唯一的。

ARP协议

       又叫做地址解析协议,用来实现ip地址到物理地址的映射,即询问目标ip对应的MAC地址的一种协议。

     一般使用于IPV4中,而IPV6中使用的是Neighbor。

简单来讲就是利用ip地址定位下一个应该接收数据分包的主机MAC地址,如果目标主机不在同一个链路上,那么查找下一个路由器的MAC地址。

ARP的工作机制

    上图中的主机A与主机B位于同一个链路,不需要经过路由器的转换。

主机A向主机B发送一个ip分组,A的地址为192.168.1.2,B的地址为192.168.1.3,互相不知道对方的MAC地址,C和D是同一链路的其它主机。

如果A想获取B的MAC地址,A会通过广播的方式向以太网的所有主机发送一个ARP请求包,

而A发送的ARP请求包会被同一链路上的所有主机或路由器接收并解析。就是每个主机/路由器都会检查ARP请求包中的信息,如果ARP请求包中的目标ip地址和自己的相同,就会将自己主机的MAC地址写入响应包返回主机A。

通过ARp从ip地址获取MAC地址,实现同一链路内的通信

如果是不同链路的话该怎么办?

这就需要代理ARP,通常ARP会被路由器隔离,但是采用代理ARP的路由器的路由器可以将ARP的请求转发给临时的网段,使网段中的节点像是在同一个网段内通信。

ARP缓存

    发送ip分组前通过发送一次ARP请求就能确定MAC地址,而ARP高效运行的关键就是维护每个主机和路由器上的ARP缓存,通过每一次ARP获取的MAC地址作为ip对MAC的映射关系到一个ARP缓存表中,下一次在向这个地址发送数据包时就不再需要发送新的ARP请求,直接利用这个缓存表的MAC地址进行数据包的发送,每发送一次ARP请求,缓存表中对应的映射关系都会被清除。MAC地址的缓存有一定的期限,超过该期限,缓存的内容会被清除

在Windows中对arp缓存的查询:

 在Windows中使用“-"进行分隔,在Linux中用“:”分隔

ARP结构

    发送的ARP请求,一般包含着以下的信息,

(在以太网中转换IPV4的地址常用的ARP请求或响应的报文格式)

前面的14个字节构成标准以太网的首部,前面两个字HE段DST

和SRC分别表示以太网的目的地址和以太网的原地址,后面紧跟着ARP请求的长度或类型,ARP请求和ARP应答的值为:0x0806

ARP欺骗

  顾名思义,ARP欺骗是针对以太网地址解析协议的一种攻击技术,通过欺骗局域网

内访问者PC的网关MAC地址,使访问者PC误以为攻击更改后的MAC地址是网关的MAC,导致网络不通。

攻击主机kali与被攻击主机CentOS

根据以上可以知道都在同一个链路

192.168.161.130和192.168.161.133

测试一下能否互通

网关ip(看CentOS):192.168.161.2

看CentOS能否上网,ping www.baidu.com观察后发现可以上网

在kali中开启Apache,并观察它的状态

扫描局域网内存在哪些主机,确定攻击的ip地址,如果不知道CentOS的ip地址时,

进行攻击需要再攻击机上使用arpspoof工具进行伪装网关

而arpspoof是dsniff的一个附属工具,所以需要下载一下

安装异常时,更换镜像并进行实时更新

进入/etc/apt路径,输入:

cat sources.list <<EOF

输入新的镜像地址之后

进行镜像更新:apt-get update

进行断网攻击:

  一般来说在实战中,我们要进行ARP欺骗前要打开ip转发,否则断网之后对方会被察觉

但是我们这里为了确认是否成功欺骗,没有开启

打开ip转发:

  sysctl -w net.ipv4.ip_forward=1  或者 echo 1 > /proc/sys/net/ipv4/ip_forward

   而kali中为了安全是没有ip转发功能的,配置文件写在了:

/proc/sys/net/ipv4的ip_forward,它的默认为0,修改为1

命令:

arpspoof -i 你的网卡名称 -t 攻击目标的ip地址  攻击目标的网关地址

现在看看CentOS中是否能够上网,不能上网,还有观察网关的mac和kali的mac此时相同,就能成功了

按Ctrl+c  停止,攻击机不在伪装,返回自己的MAC地址,CentOS又可以上网了。

但是arp欺骗存在局限性,仅能在局域网中进行,无法对外网进行攻击。

现在打开ip转发

使用相同的方法进行攻击,

ping一下百度,发现还可以上网,但是网速很慢,

如果正在浏览图片,也可以获取,但是要使用driftnet工具,监测网络流和获取TCP中的图片

   drifnet工具可以获取http协议下传输的图片,因为http是明文传输,可以获取http流量中的图片数据,并将它解码为jpg格式的图片,储存在终端上,但是https就不可以了,尝试其他攻击SSLspli

一般命令:

drifnet -i 自己的网卡名 -a 需要储存的目录 -d指定目录 -s 抓取声音

,这个在kali里面自带了。

打开方式: sudo ettercap -G

主要有两种方式

UNIFIED  :以中间人方式嗅探,比较常用

BRIDGED  :在双网卡的情况下,嗅探两块网卡之间的数据包

查看嗅探主机:

发起断网攻击并窃取数据包

加载插件:remote_broser插件

就可以进行远程攻击了,其实可以利用它来进行arp欺骗,但一般被攻击机时win系统

还可以利用它来进行http账户密码的获取,

ettercap -Tq -i eth0

利用:sudo ip neigh flush all   在kali里面清除arp缓存

如何防范ARP欺骗?

   主要通过:

主机绑定MAC地址和ip地址为静态,arp -s 网关ip 网关MAC;

网关绑定Mac地址和ip地址;

使用arp防火墙;


http://www.mrgr.cn/news/46711.html

相关文章:

  • 计算机网络(五)——传输层
  • Linux的基础IO
  • 如何将 sqlserver 数据迁移到 mysql
  • 上海亚商投顾:沪指探底回升微涨 机器人概念股午后爆发
  • AAAI2020 | Ghost | 通过幽灵网络学习可迁移的对抗样本
  • php 使用simplexml_load_string转换xml数据格式失败
  • 小赢卡贷公益行:乡村振兴与多元公益并进
  • 保姆级教程 | Adobe Illustrator调整颜色透明度
  • C语言练习
  • SpringBoot实现电子文件签字+合同系统
  • 鸿蒙网络管理模块05——数据流量统计
  • java内存控制
  • CF B. Uniqueness
  • 腾讯云SDK连麦管理快速上手
  • Python绘制--绘制心形曲线
  • 线程与进程的区别与联系
  • 2023 CCPC哈尔滨 报告
  • 影刀RPA在智能客服上的运用
  • 接着上一篇stp 实验继续
  • 24.数据结构和算法-哈夫曼树及其应用(最优二叉树)
  • 机器学习入门(一)
  • ESP32-C3实现GPIO输入-判断高低电平
  • 图形学技术博客
  • JAVA实现公众号扫码登录和关注功能实战
  • 【论文速看】DL最新进展20241009-图像生成、多模态、医学扩散模型、行人重识别
  • 数据分析库Pandas