本文借鑒以下鏈接
https://www.cnblogs.com/manue1/p/4462327.html
https://blog.csdn.net/ytx2014214081/article/details/83029763
本文僅供學習參考,請遵守《中華人民共和國網絡安全法》,不得損害國家、社會、組織、個人等相關利益
ARP協議
地址解析協議,即ARP(Address Resolution Protocol),是根據IP地址獲取物理地址的一個TCP/IP協議。主機發送信息時將包含目標IP地址的ARP請求廣播到局域網絡上的所有主機,並接收返回消息,以此確定目標的物理地址
說白了就是將IP地址轉化為MAC地址
ARP攻擊原理
PC1和PC2正常通信的時候,會雙方會記錄對方的IP和MAC地址的映射,就是生成ARP緩存表,當PC1信息發送至交換機端口1的時候再轉發到PC2,交換機同樣會記錄MAC1,生成一條MAC1和端口1的映射,之后交換機可以跟MAC楨的目的MAC進行端口轉發。
如果現在有一台PC3,當PC1和PC2建立關系的時候,PC3處於監聽狀態,也就是會把廣播包給丟棄,但PC3同樣也可以把包抓起,並回復虛假包,告訴PC1,我是PC2,那么PC1就收到了兩條PC2的回應包(一個真的,一個假的),PC1不知道誰是真誰是假,所以PC3就可以連續發包,覆蓋掉真正的PC2的包,與PC1建立聯系,進行ARP欺騙
實驗准備
攻擊機:kali ip:192.168.2.135
靶機 :win10 ip:192.168.2.196 網關:192.168.2.1
局限性: 只能在同一個局域網進行
如果攻擊機和靶機不在同一個網段,請將虛擬機的網絡適配器設置為橋接模式
1.0 ARP欺騙
目的是讓靶機無網絡服務
首先查看兩個實驗的ip
1.1靶機先測試一下能不能ping外網
1.2攻擊機發起攻擊
arpspoof命令 -i(interface) 網卡eth0 -t(target) 目標IP:192.168.2.196 目標主機網關192.168.2.1
1.3在虛擬機發起攻擊的時候,靶機嘗試連接外網失敗,說明實驗成功
1.4當虛擬機停止攻擊的時候(Ctr+C終止攻擊),靶機可以正常連接外網
2.0 那么下一步我們進行ARP嗅探圖片
2.1 打開數據包轉發 (靶機的流量要經過你的攻擊機再轉發出去)
2.2 用ettercap命令進行嗅探
-T 文本模式
-q 安靜模式
- M 中間人攻擊
2.3 打開新的shell 用driftnet監聽網卡
2.4 當靶機瀏覽其他網站的時候,攻擊機獲取對應的網站的圖片
實驗結束,成功嗅探到靶機流量里面的圖片
ARP防御
1、ARP雙向綁定
在pc端上 IP+mac 綁定
在網絡設備(交換路由)上 采用ip+mac+端口綁定
網關也進行IP和mac的靜態綁定
2、采用支持ARP過濾的防火牆