一 ARP协议(地址解析协议)
作用:将一个已知的IP地址解析为MAC地址,从而进行二层数据交互。它是通过广播消息来查询目标IP对应的MAC地址是一个三层的协议,但是工作在二层,是一个2.5层协议。
二 工作流程:
1 两个阶段
ARP请求
ARP响应
2 ARP协议的分组格式
3 ARP缓存
主要的目的是为了避免重复去发送ARP请求,在ARP缓存存在的时间内再次发起请求将不会有ARP类型流量。
在windows操作系统中使用ARP命令 ,arp -a 可以查看缓存 -d删除缓存
三 ARP攻击及ARP欺骗
1 ARP攻击
伪造ARP应答报文,向被攻击主机响应虚假的MAC地址
当被攻击主机进行网络通信时,会将数据交给虚假的MAC地址进行转发,由于虚假的MAC地址不存在,所以造成被攻击主机无法访问网络
图示为简单的ARP攻击
2 ARP欺骗
欺骗网关
伪造ARP应答报文,向被攻击主机和网关响应真实的MAC地址
当被攻击主机进行网络通信时,会将数据交给真实MAC地址进行转发,从而来截获被攻击主机的数据,这时被攻击主机是可以进行网络通信的
可以实现监听的效果
欺骗主机
伪造ARP应答报文,向被攻击主机和通信的主机响应真实的MAC地址
当被攻击主机进行网络通信时,会将数据交给真实MAC地址进行转发,从而来截获被攻击主机的数据,这时被攻击主机是可以进行网络通信的
四 实施ARP攻击和欺骗
在kali上面安装arpspoof工具
arpspoof -i eth0 -t 192.168.80.130 192.168.80.2 #-i指定网卡 -t指定被攻击者ip与网卡ip
此时被攻击者的网卡的ip对应mac地址变为攻击者网卡eth0的mac地址,被攻击者上不了网
欺骗需要进入ip转发使攻击者可以上网达到监听的效果
echo 1 >> /proc/sys/net/ipv4/ip_forward #该文件值为1则为打开ip转发功能
下载drifnet进行监听
driftnet -i eth0