arpspoof 欺騙 以及防御措施

arpspoof通過偽造arp回復包將局域網中主機A（或者所有主機）的網路包重定向到主機B。

Version: 2.4

Usage: arpspoof [-i interface] [-c own|host|both] [-t target] [-r] host 

說明：

-i 指定攻擊機網絡接口（網卡名稱）。

-c own|host|both 

-t 指定arp攻擊的目標。如果不指定，則目標為該局域網內的所有機器。

-r 希望攔截攻擊機和哪個host之間的通信，一般都是網關。

arpspoof -i 網卡 -t  網關 目標ip

 

路由轉發

在攻擊前首先開啟路由轉發功能，否則會導致目標ip無法接收數據

開啟IP轉發:echo 1 >/proc/sys/net/ipv4/ip_forward
關閉IP轉發:echo 0 >/proc/sys/net/ipv4/ip_forward

查看IP轉發是否成功:cat /proc/sys/net/ipv4/ip_forward 

 

 

附：arpspoof成功后實時查看被攻擊者瀏覽的圖片

 

圖片捕獲工具Driftnet

driftnet是一款簡單而使用的圖片捕獲工具，可以很方便的在網絡數據包中抓取圖片。該工具可以實時和離線捕獲指定數據包中的圖片。

語法： driftnet   [options]   [filter code]

參數：

 -b                   捕獲到新的圖片時發出聲音

-i  interface     選擇監聽接口

-f  file              讀取一個指定pcap數據包中的圖片

-p                    所監聽的接口不使用混雜模式

-a                    后台模式：將捕獲的圖片保存到目錄中（不會顯示在屏幕上）

-m                   number 指定保存圖片數的數目

-d                    directory  指定保存圖片的路徑

-x                    prefix  指定保存圖片的前綴名

 

實例： driftnet -i wlan0

 

 

 

 

 

 

 

 

 

 

 

應對arp欺騙的措施

 

ARP攻擊時的主要現象：

1、網銀、游戲及QQ賬號的頻繁丟失
一些人為了獲取非法利益，利用ARP欺騙程序在網內進行非法活動，此類程序的主要目的在於破解賬號登陸時的加密解密算法，通過截取局域網中的數據包，然后以分析數據通訊協議的方法截獲用戶的信息。運行這類木馬病毒，就可以獲得整個局域網中上網用戶賬號的詳細信息並盜取。
2、網速時快時慢，極其不穩定，但單機進行光纖數據測試時一切正常
當局域內的某台計算機被ARP的欺騙程序非法入侵后，它就會持續地向網內所有的計算機及網絡設備發送大量的非法ARP欺騙數據包， 阻塞網絡通道，造成網絡設備的承載過重，導致網絡的通訊質量不穩定。
3、局域網內頻繁性區域或整體掉線，重啟計算機或網絡設備后恢復正常
當帶有ARP欺騙程序的計算機在網內進行通訊時，就會導致頻繁掉線，出現此類問題后重啟計算機或禁用網卡會暫時解決問題，但掉線情況還會發生。

 

解決思路

不要把你的網絡安全信任關系建立在IP基礎上或MAC基礎上。
設置靜態的MAC-->IP對應表，不要讓主機刷新你設定好的轉換表。
除非必要，否則停止ARP使用，把ARP做為永久條目保存在對應表中。
使用ARP服務器。確保這台ARP服務器不被黑。
使用"proxy"代理IP傳輸。
使用硬件屏蔽主機。
定期用響應的IP包中獲得一個rarp請求，檢查ARP響應的真實性。
定期輪詢，檢查主機上的ARP緩存。
使用防火牆連續監控網絡等。

 

 

對於局域網管理者

一、建立MAC數據庫，把局域網內所有網卡的MAC地址記錄下來，每個MAC和IP、地理位置統統裝入數據庫，以便及時查詢備案。

二、建立DHCP服務器（建議建在網關上，因為DHCP不占用多少CPU，而且ARP欺騙攻擊一般總是先攻擊網關，網關一般也會有監控程序，另外所有客戶機的IP地址及其相關主機信息，只能由網關這里取得，網關這里開通DHCP服務，還要給每個網卡，綁定固定唯一IP地址。一定要保持網內的機器IP/MAC一一對應的關系。這樣客戶機雖然是DHCP取地址，但每次開機的IP地址都是一樣的。

三、網關監聽網絡安全。網關上面使用TCPDUMP程序截取每個ARP程序包，寫一個腳本分析軟件分析這些ARP協議。ARP欺騙攻擊的包一般有以下兩個特點，滿足之一可視為攻擊包報警：第一以太網數據包頭的源地址、目標地址和ARP數據包的協議地址不匹配。或者，ARP數據包的發送和目標地址不在自己網絡網卡MAC數據庫內，或者與自己網絡MAC數據庫 MAC/IP 不匹配。發現之后第一時間報警，查這些數據包（以太網數據包）的源地址（也有可能偽造），就大致知道那台機器在發起攻擊了。

第四、網關機器關閉ARP動態刷新的過程，使用靜態路由，這樣即使攻擊者使用ARP欺騙攻擊網關，對網關也會無效，確保主機安全。

網關建立靜態IP/MAC捆綁的方法是：建立/etc/ethers文件，其中包含正確的IP/MAC對應關系，格式如下：

192.168.2.32 08:00:4E:B0:24:47

/etc/rc.d/rc.local

arp -f

 

 

對於被攻擊的個人

一、命令 arp –d       重新嘗試上網，如果能恢復正常，則說明此次掉線可能是受ARP欺騙所致。
注：arp -d命令用於清除並重建本機arp表。arp –d命令並不能抵御ARP欺騙，執行后仍有可能再次遭受ARP攻擊

 

二、采用雙向綁定解決和防止ARP欺騙。在電腦上綁定路由器的IP和MAC地址

首先，獲得路由器的內網的MAC地址
編寫一個批處理文件rarp.bat內容如下：
@echo off
arp -d
arp -s 網關IP 網關MAC

讓這個文件開機運行