1、确定两台主机在一个子网中,具有相同IP的前缀
-
win10(192.168.112.131)(00-0c-29-d6-f8-97)
-
-
kali(192.168.112.128)(00:0c:29:3b:63:2a)
-
2、测试两者连通性
可以ping通
3、安装arp欺骗工具
-
arpspoof apt install dsniff
4、开启kali的路由转发
echo 1 > /proc/sys/net/ipv4/ip_forward
5、实施攻击
-
arpspoof -i eth0 -t 192.168.112.131 192.168.112.2 #可实施正向和反向两种欺骗方式,主机在前网关在后,主机在后网关在前 #-i 接口名称 #-t 攻击主机目标地址 攻击主机网关地址
-
6、安装driftnet工具对win 10主机访问外网流量捕获图像并显示
-
apt-get -y install driftnet #安装 driftnet -i eth0 #劫持
-
劫持成功
7、arp欺骗原理及防御方式
(1)、ARP协议
地址解析协议,将IP地址转换为对应的mac地址,属链路层协议 数据包分为:
请求包(广播):本机IP地址、mac地址+目标主机IP地址 应答包(单播):本机IP地址、mac地址+来源主机IP地址、mac地址 通信方式:
局域网内通信:
-
主机A和主机B通信过程:
-
主机A先检查自己的缓存表中有没有主机B的IP地址和mac地址的对应关系,有就直接进行通信;如果没有,就在局域网广播一个arp请求包,包括主机A的IP地址、mac地址和主机B的IP地址。
-
局域网内所有机器都会收到这个请求包,收到后与自己的ip地址对比一下,如果是自己的,就发送一个响应包,包括主机A的IP地址、mac地址和主机B的IP地址、mac地址;如果不是自己的,就丢掉。
-
-
局域网间通信:与上面过程类似,但是主机A要先和网关进行通信,再和主机B进行通信。
-
注意:
-
a.两台主机的IP地址不在同一网段,需要通过网关来转发
-
b.涉及两个arp缓存表,一个是主机中存放的,另一个是网关处路由器设备自己的arp缓存表
-
(2) ARP欺骗
-
利用ARP协议的缺陷进行的一种非法攻击
(3)ARP欺骗攻击原理
-
1、原理:
-
主机接收到一个应答包之后,并不会验证自己是否发送过对应的arp请求包,也不会验证这个arp请求包是否可信,而是直接用应答包里的IP地址和mac地址的对应关系替换掉arp缓存表里原有的对应关系。
-
-
2、过程
-
攻击主机B向网关C发送一个应答包,包括主机A的IP地址、主机B的mac地址。同时,向主机A发送一个应答包,包括网关C的IP地址,主机B的mac地址。 这个时候,网关C就会将缓存表里主机A的mac地址换成主机B的mac地址,而主机a就会将缓存表里网关C的mac地址换成主机B的mac地址。 所以,网关C发送给主机A的消息全被主机B接收,主机A发送给网关C的消息也全被主机B接收,主机B就成为主机A和网关C通信的“中间人”。
-
(4)ARP欺骗攻击的检测与防御
-
检测:
-
1、网络频繁掉线
-
2、网速突然变慢
-
3、使用arp -a命令查看的网关mac地址与真实的网关mac地址不同
-
4、使用嗅探软件发现局域网内存在大量arp应答包
-
防御:
-
1、绑定mac地址
-
2、使用静态arp缓存表
-
3、使用arp服务器,通过服务器来查找arp转换表来响应其他机器的广播
-
4、使用arp欺骗防护软件
(5)ARP欺骗的危害
-
1、使同一网段内其他用户无法上网
-
2、可以嗅探到交换式局域网中的所有数据包
-
3、对信息进行篡改文章来源:https://www.toymoban.com/news/detail-719286.html
-
4、可以控制局域网内任何主机文章来源地址https://www.toymoban.com/news/detail-719286.html
到了这里,关于攻击实施 | ARP欺骗攻击实验的文章就介绍完了。如果您还想了解更多内容,请在右上角搜索TOY模板网以前的文章或继续浏览下面的相关文章,希望大家以后多多支持TOY模板网!
