地址解析协议ARP

ARP，是根据IP地址获取物理地址的一个TCP/IP协议。

主机发送信息时将包含目标IP地址的ARP请求广播到网络上的所有主机，并接收返回消息，以此确定目标的物理地址；收到返回消息后将该IP地址和物理地址存入本机ARP缓存中并保留一定时间，下次请求时直接查询ARP缓存以节约资源

基本功能

通过目标设备的IP地址，查询目标设备的MAC地址，以保证通信的进行

局限性

仅能在局域网中进行

ARP缓存表

用来储存IP地址和mac地址的缓冲区，本质是一个ip地址-->mac地址的对应表，表中的每一个条目分别记录了网络上其他主机的IP地址和对应的mac地址

每一个以太网或令牌环网络适配器都有自己单独的表。当ARP协议被询问一个已知IP地址节点的mac地址时，先在ARP缓存中查看，若存在，就直接返回与之对应的mac地址，若不存在，才发送ARP请求向局域网查询

ARP常用命令

arp -a或arp -g：查看缓存中的所有项目，两者结果一样

-g一直时unix平台使用，-a用于Windows平台（-a可视为all）

arp -a IP：如果有多个网卡，使用此命令可以只显示与接口相关的ARP缓存项目

ARP欺骗（ARP spoofing）

是针对以太网地址解析协议（ARP）的一种攻击技术，通过欺骗局域网内访问者PC的网关MAC地址，使访问者PC错以为攻击者更改后的MAC地址是网关的MAC，导致网络不通。

此种攻击可让攻击者获取局域网上的数据包甚至可篡改数据包，且可让网上特定计算机或所有计算机无法正常连线

地址解析协议是建立在网络中各个主机互相信任的基础上的，局域网络上的主机可以自主发送ARP应答消息，其他主机收到应答报文时不会检测该报文的真实性就会将其记入本机ARP缓存；由此攻击者就可以向某一主机发送伪ARP应答报文，使其发送的信息无法到达预期的主机或到达错误的主机，这就构成了一个ARP欺骗

常见的ARP欺骗手法：同时对局域网内的一台主机和网关进行ARP欺骗，更改这台主机和网关的ARP缓存表。

进行ARP断网攻击

攻击机：kali IP：192.168.111.129

Mac：00-0c-29-5d-6b-0d

受害者：win7 IP：192.168.111.136

Mac：00-0c-29-A9-DE-0c

网关：00-50-56-e2-df-17（查看默认网关IP：192.168.111.2）

查看win7IP地址，mac地址和默认网关

查看kaliIP地址和网关

使用arp -a命令查看arp缓存表中的网关mac地址

进行主机扫描，查看当前局域网内存在哪些主机

也可执行nmap命令扫描网络中活跃的主机

在win7测试网络连接

实施断网攻击

arpspoof -i 网卡 -t 目标IP 网关

工具arpspoof出现404更新错误的解决办法 blog.csdn.net/qq_24797991…

测试连接

使用arp -a命令查看靶机网关mac地址的变化

进行ARP欺骗，攻击利用

查看IP流量转发并设置，确保不会出现断网现象

测试是否能够上网

此时win7和网关通信的数据包都会流经kali

利用driftnet工具，捕获win7机器正在浏览的图片

注意：需要访问HTTP类型的网站才可以捕获图片

driftnet是一个监听网络流量并从它观察到的TCP流中提取图像的程序

综合应用：HTTP账户密码获取

进行ARP欺骗

借助ettercap进行网络嗅探，启动

ettercap：一个基于ARP地址欺骗方式的网络嗅探工具，主要适用于交换局域网络。

借助于ettercap工具，渗透测试人员可以检测网络内明文数据通讯的安全性，及时采取措施，避免敏感的用户名/密码等数据以明文的方式进行传输

访问登录网址，输入用户名和密码

返回kali攻击机，查看记录

随后进行用户名为中文的登录，并进行查看

中文会被进行编码，在解码网站上进行解码查看

DNS（Domain Name System）欺骗

攻击者（黑客）冒充域名服务器进行欺骗的一种行为

冒充域名服务器，之后把查询的IP地址设为攻击者的IP地址，这样，用户上网就只能看到攻击者的主页，而不是用户想要取得的网站主页

攻击机：kali IP：192.168.111.129

Mac：00-0c-29-5d-6b-0d

目标：win7 IP：192.168.111.135

网关：192.168.111.2

打开ettercap的DNS文件进行编辑，在对应位置添加对应的标识和IP地址

其中*代表所有域名，其后为你所要欺骗的IP地址

启动apache2服务器

输入命令ettercap -G来进入图形界面，点击对勾

选择网卡进行配置

扫描网关下所有在线主机

hosts选项下的scan for hosts

分别把目标机IP与网关加入target中

配置好后进行arp欺骗

此时可以看到win7的网关mac地址已经为kali攻击机的mac地址

之后进行DNS欺骗攻击，开启DNS欺骗

此时进行百度ping通，发现IP由原本随机分配变为攻击机的IP

在win7中，访问相关网址，查看是否欺骗成功

注意：访问HTTP协议类型网站

ARP欺骗防御

静态绑定：
- 最常用的方法就是做IP和MAC静态绑定，在内网把主机和网关都做IP和MAC绑定
使用ARP防护软件
- 欣向ARP工具、Antiarp等

DOS+DDOS攻击

DOS攻击

拒绝服务攻击即是攻击者想办法让目标机器停止提供服务，是黑客常用的攻击手段之一。
其实对网络带宽进行的消耗性攻击只是拒绝服务攻击的一小部分，只要能够对目标造成麻烦，使某些服务被暂停甚至主机死机，都属于拒绝服务攻击。拒绝服务攻击问题也一直得不到合理的解决，究其原因是因为网络协议本身的安全缺陷，从而拒绝服务攻击也成为了攻击者的终极手法。
攻击者进行拒绝服务攻击，实际上让服务器实现两种效果：
- 一是迫使服务器的缓冲区满，不接收新的请求；
- 二是使用IP欺骗，迫使服务器把非法用户的连接复位，影响合法用户的连接

DDOS攻击

分布式拒绝服务攻击可以使很多的计算机在同一时间遭受到攻击，使攻击的目标无法正常使用，分布式拒绝服务攻击已经出现了很多次，导致很多的大型网站都出现了无法进行操作的情况，这样不仅仅会影响用户的正常使用，同时造成的经济损失也是非常巨大的。
分布式拒绝服务攻击方式在进行攻击的时候，可以对源IP地址进行伪造，这样就使得这种攻击在发生的时候隐蔽性是非常好的，同时要对攻击进行检测也是非常困难的，此这种攻击方式也成为了非常难以防范的攻击。

声明

以上内容仅代表作者个人学习记录，供学习参考

网络安全小白学习记录-7-ARP欺骗+DNS欺骗