這是我的學習總結,剛入坑網絡安全,寫的不好或者有什么錯誤的希望大佬們指正
首先了解ARP的作用以及原理:
ARP(Address Resolution Protocol,地址解析協議)是一個位於TCP/IP棧中的網絡層,負責將某個ip地址解析成對應的MAC地址,ARP協議的基本功能就是通過目標設備的IP地址,查詢目標設備的MAC地址,以保證通信的進行,當然還有最重要的一點 它一般只能在內網進行,無法對外網(互聯、非本區域內的局域網)進行攻擊。
ARP攻擊就是通過偽造IP地址和MAC地址實現ARP欺騙,能夠在網絡中產生大量的ARP通信量,攻擊者只要持續不斷的發出偽造的ARP響應包就能更改目標主機ARP緩存中的IP-MAC條目,造成網絡中斷或中間人攻擊。攻擊者向電腦A發送一個偽造的ARP響應,告訴電腦A:電腦B的IP地址192.168.100.2對應的MAC地址是00-aa-00-62-c6-03,電腦A信以為真,將這個對應關系寫入自己的ARP緩存表中,以后發送數據時,將本應該發往電腦B的數據發送給了攻擊者。同樣的,攻擊者向電腦B也發送一個偽造的ARP響應,告訴電腦B:電腦A的IP地址192.168.100.1對應的MAC地址是00-aa-00-62-c6-03,電腦B也會將數據發送給攻擊者。至此攻擊者就控制了電腦A和電腦B之間的流量,他可以選擇被動地監測流量,獲取密碼和其他涉密信息,也可以偽造數據,改變電腦A和電腦B之間的通信內容。
什么是ARP欺騙?
在局域網中,攻擊者經過收到的ARP Request廣播號,能夠偷聽到其它節點的 (IP, MAC) 地址, 黑客就偽裝為A,告訴B (受害者) 一個假地址,使得B在發送給A 的數據包都被黑客截取,而A, B 渾然不知。這種情況是沒有辦法防止的,它的危害也不是很大。因為一般服務器通常不會和終端主機在同一個局域網。
廢話不多說,直接上手
此次試驗環境為靶機和ftp服務器之間的arp中間人
靶機 ip:10.90.100.53 mac:04:69:f8:db:75:6b
中間人kali ip:10.90.100.242 mac:00:0c:29:a7:16:35
FTP服務器 ip:10.90.100.68 mac:00:0c:29:bb:44:56
實驗網絡拓撲圖
第一步:kali開啟轉發功能
echo 1 > /proc/sys/net/ipv4/ip_forward
第二步:arp攻擊前靶機ARP表中FTP服務器的mac地址
( 查看arp是否正常)
第三步:用arpspoof實現雙向欺騙
對10.90.100.68進行欺騙,並且告訴它是10.90.100.53
第四步:在靶機上查看FTP服務器mac地址以驗證是否欺騙成功
第五步:使用工具tcpdump監聽ftp端口21端口並將所截獲數據包導入到1.txt中(如沒有1.txt,則自動新建)
tcpdump -nn -X -i eth0 tcp prot 21 > 1.txt
第六步:查看數據包並查找有用信息
防御方法: 將IP和mac地址雙向綁定,設置為靜態綁定