本文借鉴以下链接
https://www.cnblogs.com/manue1/p/4462327.html
https://blog.csdn.net/ytx2014214081/article/details/83029763
本文仅供学习参考,请遵守《中华人民共和国网络安全法》,不得损害国家、社会、组织、个人等相关利益
ARP协议
地址解析协议,即ARP(Address Resolution Protocol),是根据IP地址获取物理地址的一个TCP/IP协议。主机发送信息时将包含目标IP地址的ARP请求广播到局域网络上的所有主机,并接收返回消息,以此确定目标的物理地址
说白了就是将IP地址转化为MAC地址
ARP攻击原理
PC1和PC2正常通信的时候,会双方会记录对方的IP和MAC地址的映射,就是生成ARP缓存表,当PC1信息发送至交换机端口1的时候再转发到PC2,交换机同样会记录MAC1,生成一条MAC1和端口1的映射,之后交换机可以跟MAC桢的目的MAC进行端口转发。
如果现在有一台PC3,当PC1和PC2建立关系的时候,PC3处于监听状态,也就是会把广播包给丢弃,但PC3同样也可以把包抓起,并回复虚假包,告诉PC1,我是PC2,那么PC1就收到了两条PC2的回应包(一个真的,一个假的),PC1不知道谁是真谁是假,所以PC3就可以连续发包,覆盖掉真正的PC2的包,与PC1建立联系,进行ARP欺骗
实验准备
攻击机:kali ip:192.168.2.135
靶机 :win10 ip:192.168.2.196 网关:192.168.2.1
局限性: 只能在同一个局域网进行
如果攻击机和靶机不在同一个网段,请将虚拟机的网络适配器设置为桥接模式
1.0 ARP欺骗
目的是让靶机无网络服务
首先查看两个实验的ip
1.1靶机先测试一下能不能ping外网
1.2攻击机发起攻击
arpspoof命令 -i(interface) 网卡eth0 -t(target) 目标IP:192.168.2.196 目标主机网关192.168.2.1
1.3在虚拟机发起攻击的时候,靶机尝试连接外网失败,说明实验成功
1.4当虚拟机停止攻击的时候(Ctr+C终止攻击),靶机可以正常连接外网
2.0 那么下一步我们进行ARP嗅探图片
2.1 打开数据包转发 (靶机的流量要经过你的攻击机再转发出去)
2.2 用ettercap命令进行嗅探
-T 文本模式
-q 安静模式
- M 中间人攻击
2.3 打开新的shell 用driftnet监听网卡
2.4 当靶机浏览其他网站的时候,攻击机获取对应的网站的图片
实验结束,成功嗅探到靶机流量里面的图片
ARP防御
1、ARP双向绑定
在pc端上 IP+mac 绑定
在网络设备(交换路由)上 采用ip+mac+端口绑定
网关也进行IP和mac的静态绑定
2、采用支持ARP过滤的防火墙