ARP欺骗

原创 已于 2024-04-10 17:00:05 修改 · 793 阅读 · 5 ·
CC 4.0 BY-SA版权
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
文章标签:

#网络

于 2023-09-21 11:08:16 首次发布
本文介绍了ARP欺骗攻击的基本概念,包括其工作原理,利用MS17-010漏洞在Windows7靶机上的复现步骤,以及如何使用KaliLinux进行arpspoofing、限制网速和嗅探流量。

ARP欺骗
定义

ARP欺骗(英语:ARP spoofing),又称ARP毒化(ARP poisoning,网络上多译为ARP病毒)或ARP攻击,是针对以太网地址解析协议(ARP)的一种攻击技术,通过欺骗局域网内访问者PC的网关MAC地址,使访问者PC错以为攻击者更改后的MAC地址是网关的MAC,导致网络不通。此种攻击可让攻击者获取局域网上的数据包甚至可篡改数据包,且可让网络上特定计算机或所有计算机无法正常连线。也就是说我们在同局域网下,我们使用MAC地址进行传输的,此时我们就可以伪装路由器,让靶机的数据先从我们这里经过,达到欺骗的效果。

原理

ARP协议的工作原理如下:当一个主机需要发送数据包给另一个主机时,它首先会在本地的ARP缓存中查找目标主机的物理地址。如果找不到,主机就会发送一个ARP请求广播到本地网络上的所有主机,请求目标主机的物理地址。收到ARP请求的主机会检查自己的IP地址和请求中的目标IP地址是否匹配。如果匹配,主机就会回复自己的物理地址。收到物理地址后,主机就会将目标主机的IP地址和物理地址存入本地的ARP缓存中,并使用该地址发送数据包。

假设有三个主机A、B、C在一个局域网内,其中B是网关,即连接局域网和互联网的设备。A需要发送数据给C时,需要知道C的MAC地址。但是A只知道C的IP地址,所以A会发送一个ARP请求广播给局域网内的所有主机,请求C的MAC地址。

靶机win7

MS17-010漏洞复现(带win7虚拟机安装,零基础)_永恒之蓝系统镜像_墨言ink的博客-优快云博客

本机kali虚拟机

首先我们需要知道靶机的IP和本机的IP

靶机IP   192.168.109.144

本机    192.168.109.141

此时我们需要检查靶机是否存活

fping -g  本机的IP地址/24

此时我们就会发现141 alive

但是我们前提是本机的网络要正常使用,在安装dsniff数据包的时候我们就需要检查一下网络

我们先ping  8.8.8.8  如果可以ping通,接下来ping www.baidu.com 如果ping不通说明我们的网络需要重新配置一下,当是我也是这样的。

1、打开网卡配置文件

vim /etc/network/interfaces

2、编辑网卡内容(这里我们改成静态ip)

编辑以下内容:

auto eth0

iface eth0 inet static

address 192.168.1.63

netmask 255.255.255.0

gateway 192.168.1.1

3.重启网卡即可

service networking restart

这里我们就需要改成自己需要的IP和网关,子网掩码,以上只是一个例子

重启之后我们就会发现可以ping通百度了

需要更新一下

 apt-get update

更新完成之后就可以安装工具了

 ARP欺骗需要用到dsniff数据包(arpspoof 是 dsniff 的一个附属工具,所以我们需要安装的是 dsniff)

安装dsniff

apt-get install dsniff

查看是否安装成功

arpspoof -h

 arpspoof -i 你的网卡名称 -t 攻击目标的IP地址 攻击目标的网关地址

 本机的网卡名称是eth0,靶机ip192.168.109.144,靶机网关192.168.109.3

kali会不断向被攻击机发送应答包,被攻击机的ARP缓存表中,原网关的MAC地址就被篡改为攻击机的MAC地址。kali默认不转发数据,被攻击机达到断网效果。

用靶机ping一下百度,结果就ping不通了

那就我们说明我们攻击成功了

限制网速

要实现限制网速,kali要先开启路由转发功能。

cat /proc/sys/net/ipv4/ip_forward

回显0表示没开启流量转发↓,显示1表示开启了。

 

开启kali流量转发:

echo 1 > /proc/sys/net/ipv4/ip_forward

 

限制网速200ms延时
sudo tc qdisc add dev eth0 root netem delay 200ms
 
取消限制网速200ms延时
sudo tc qdisc del dev eth0 root netem delay 200ms

开启限速

 关闭限速

我们就可以看到关闭限速之后我们的平均用时就短了,说明我们限速成功。

嗅探流量

需要让被攻击机通过攻击机进行上网,所以开启kali的流量转发。
echo 1 > /proc/sys/net/ipv4/ip_forward;开启流量转发。
cat /proc/sys/net/ipv4/ip_forward ;检查是否开启了。
这个时候win7会经过kali上网,kali也就可以抓取win7数据了。
win7在网上浏览内容时,使用wireshark就可以抓到很多流量包。

我们先在靶机上上网看看可以截取到流量

下面就说明我们已经截取到流量

 

 kali搭载的官方源有点慢,建议要换一下源

kali换源

网络安全自学教程》- ARP欺骗原理分析与实战演示
wangyuxiang946的博客
03-20 1万+
使用arpspoof执行ARP欺骗,配合实战案例分析ARP欺骗原理。解析ARP欺骗的防御四种防御手段,静态ARP/动态ARP
ARPSpoofing、arp欺骗性攻击、arpspoof源码分析
Bonjour~
03-18 1万+
ARPSpoofing 什么是ARP协议 一台主机和另一台主机通信,要知道目标的IP地址,但是在局域网传输的网卡却不能直接识别IP地址,所以用APR解析协议将IP地址解析成MAC地址。ARP协议的基本功能就是通过目标设备的IP地址,来查询设备的MAC地址。 在局域网的任意一台主机中,都有一个ARP缓存表,里面保存本机已知的此局域网中各主机和路由器的IP地址和MAC地址的对照表关系。ARP缓存表的生命周
MAC地址欺骗与MAC地址泛洪攻击(eNSP环境演示)
热门推荐
redwand的博客
04-08 1万+
MAC地址欺骗和MAC地址泛红攻击,是很古老的二层攻击手法,现在也很少用在网络攻击实战中,但对于其攻击原理却很值得学习,本文通过eNSP抓包的实践方式,充分学习了这两种攻击的手段,使我们对二层网络攻击有了更深刻的理解。
MAC地址表攻击及防御
最新发布
u011961970的博客
09-30 233
交换机通过学习数据帧的源 MAC 地址和对应的端口,建立 MAC 地址表,并将数据帧转发到目标 MAC 所在的端口。交换机 MAC 地址表被大量伪造的 MAC 地址填满,导致无法学习合法主机的 MAC 地址。使用 VLAN 隔离,将不同用户或设备隔离到不同的 VLAN 中。交换机将未知单播帧广播到所有端口,攻击者可以窃听主机之间的通信。使用静态 MAC 地址绑定,将特定 MAC 地址与特定端口绑定。攻击者发送大量伪造数据帧,并随机生成源 MAC 地址。限制每个端口允许学习的 MAC 地址数量。
MAC泛洪/MAC地址欺骗攻击原理介绍与操作
辉小鱼的博客
07-09 938
Client Telnet New-Client测试。Kali使用Wireshark抓包。Kali开始进行MAC泛洪攻击。查看交换机MAC地址表状态。各类交换机CAM表容量。
ARP欺骗原理以及路由器的先天免疫
weixin_34129145的博客
11-15 202
ARP(Address Resolution Protocol,地址解析协议)是一个位于TCP/IP协议栈中的低层协议,负责将某个IP地址解析成对应的MAC地址。 “网管,怎么又掉线了?!”每每听到客户的责问,网管员头都大了。其实,此起彼伏的瞬间掉线或大面积的断网大都是ARP欺骗在作怪。ARP欺骗***已经成了破坏网吧经营的罪魁祸首,是网吧老板和网管员的心腹大患。 ...
ensp加kali实现arp欺骗攻击
04-21
网络安全领域,ARP欺骗是一种常见的攻击手段,它利用了局域网中地址解析协议(ARP)的缺陷。本文将深入探讨如何使用Kali Linux这一专业安全操作系统,配合ENSPI(Ethernet Network Simulation Platform,以太网...
什么是ARP欺骗ARP欺骗现象是什么?如何判断ARP欺骗
10-01
因为在进行通信的时候,数据是通过MAC地址与IP地址的对应关系来进行转发的。若其中MAC地址与IP地址对应的关系出错,就会导致数据...通过某种手段,来更改MAC与IP地址的对应关系,导致电脑无法正常上网,这就是ARP欺骗
精选资源
arp欺骗,抓取web和ftp用户名和密码-ettercap-运维安全详细笔记
06-30
"arp欺骗攻击技术-ettercap运维安全详细笔记" 本文将详细介绍arp欺骗攻击技术的原理和应用,使用ettercap软件实现arp欺骗攻击,抓取web网站和ftp服务器的用户名和密码。通过实验案例,演示如何使用ettercap进行arp...
ARP欺骗技术:ARP欺骗工具介绍_(14).高级ARP欺骗技术
chenlz2007的博客
11-11 1215
ARP欺骗是一种常见的网络攻击技术,通过伪造ARP响应来实现中间人攻击。为了保护网络的安全,网络管理员需要采取多种防御措施,包括设置静态ARP表、使用ARP保护软件、启用网络监控和入侵检测系统等。同时,了解和使用高级ARP欺骗工具,如Ettercap、ARP spoof、Scapy和BetterCAP,可以帮助更好地理解其工作原理和防御方法。通过综合运用这些工具和技术,可以有效防止ARP欺骗攻击,保护网络中的主机和数据安全。希望本文对读者在理解和防御ARP欺骗方面有所帮助。
ARP欺骗技术:ARP欺骗工具介绍_(1).ARP欺骗技术概述
chenlz2007的博客
11-11 1199
ARP(Address Resolution Protocol)欺骗是一种网络攻击技术,通过伪造ARP报文,使目标主机错误地将攻击者的MAC地址与某个IP地址关联起来,从而实现中间人攻击或拒绝服务攻击。ARP协议的主要功能是在局域网中将IP地址解析为对应的MAC地址,以实现数据包的传输。ARP欺骗利用了ARP协议的这一机制,通过发送伪造的ARP响应,使网络中的设备相信攻击者的MAC地址是某个合法IP地址的对应地址,从而将数据包发送到攻击者控制的设备上。
arpspoof2.1
12-23
arpspoof2.1版本,绝对可用,不错的资源,可实现单向和双向欺骗,内涵源码
arp欺骗工具arpspoof.pdf
06-18
arp断网工具,学会使用即可进行arp欺骗,新手入门学习文档。
arpspoof
11-23
进行arp欺骗的软件
ARP欺骗ARP spoofing)网络攻击实验
EnerY3的博客
12-11 8207
ARP欺骗的原理基于地址解析协议(ARP)的工作方式。在TCP/IP网络中,当一个设备需要与另一个设备通信时,它首先需要知道对方的物理(MAC)地址。ARP协议通过将IP地址映射到MAC地址来解决这个问题。以下是ARP欺骗的基本步骤:1. 攻击者C监听网络上的ARP流量。2. 当设备A发出ARP请求时,攻击者C也发送一个ARP响应,声称自己是设备B(使用设备B的IP地址,但提供的是攻击者C的MAC地址)。3.设备A接收到两个响应:一个是真正的设备B的响应,另一个是攻击者C的伪造响应。
ARPspoofing
Silbert Monaphia
04-17 1103
ARP攻击和欺骗网络安全中比较经典的流量截取手段,特别是适合内网攻击。整个攻击原理简单举例来说就是作为攻击方A,利用网络层的ARP协议不安全性,伪造应答包,发送给受害方B,B通过接受到攻击方发送的ARP应答包,在自己的ARP缓存表中写入了虽然是网关的IP,但是对应的MAC却是属于攻击方A的MAC,然后受害方B在浏览网络的时候,所有流量必须经过攻击方A,通过这种手段,攻击方A可以捕获受害方的上网流量。
ARP Spoof&DoS攻击编程实战
飞鸟Blog
12-21 2250
关于讨论ARP哄骗的文章,黑防在第8期的《小窥ARP协议》和第9期《ARP SPOOF DoS攻防详谈》均有介绍,不过,俗话说,授人鱼,不如授人以渔,更多的读者也许期待的是如何将其原理和编程实现结合。本文的着笔点正是出于这样的目的,更是对上述两篇文章的一个补充,希望能给读者们真正理解ARP攻击的实质,同时,也给部分想学习而又害怕学习WinPcap的读者一些“师傅领进门”的感受。【以下测试环境为Wi
arpspoof 命令详解
antness的博客
09-01 1878
arpspoof 通过伪造并LAN 内target主机(或所有主机)发往网络中其他主机的数据包。指定在恢复 ARP 配置时使用的硬件地址;安全更难被检测使用伪造的硬件地址发送数据包可能会干扰某些 Switch/Ap/Bridge 配置的网络连接。但比使用自己的地址(默认的清理方式)更可靠。-t target指定要进行 ARP 欺骗的主机(如果未指定,则针对 LAN 上的所有主机)。可重复使用以指定多个主机。-r同时对两个主机host和target进行欺骗,以。(仅在与 -t 选项一起使用时有效)
arp欺骗
03-15
<think>好的,我现在需要回答用户关于ARP欺骗的工作原理及防范措施的问题。首先,我需要回顾一下ARP协议的基本知识。ARP协议用于将IP地址解析为MAC地址,但它是无状态的,不验证响应包的真实性,这就容易受到欺骗攻击。接下来,ARP欺骗的具体工作原理是怎样的呢?攻击者可能会发送伪造的ARP响应,欺骗目标设备,使其更新ARP缓存中的错误条目,导致流量被重定向到攻击者的机器。这样,攻击者可以实施中间人攻击或拒绝服务攻击。 关于防范措施,我记得有静态ARP绑定、使用ARP检测工具、划分VLAN、加密通信等方法。需要详细说明每一种措施的操作步骤和原理,比如静态ARP绑定如何通过arp -s命令来设置,以及ARPWatch这样的工具如何监控网络中的异常ARP活动。同时,引用用户提供的参考文献中的内容,如引用[3]提到的检测工具的工作原理,以及引用[4]中提到的ARP缓存管理命令。 在回答结构上,应该先解释ARP欺骗是什么,然后详细说明其工作原理,再分点列出防范措施,并确保每个措施都有对应的引用支持。另外,用户要求使用中文,数学公式用$...$,独立公式用$$...$$,但这个问题可能涉及较少的数学内容,主要关注协议和网络安全措施。需要检查是否有需要格式化的技术术语或命令,例如命令行代码可能需要用代码块表示,但根据示例,用户似乎接受用中文描述命令,如引用[4]中的示例。 最后,生成相关问题,要围绕ARP欺骗和防护措施展开,比如攻击类型、检测工具、企业网络中的防护手段等。确保问题相关且有深度,帮助用户进一步学习。 现在整理回答内容,确保符合格式要求,正确引用文献,并自然融入引用标识。同时,检查是否有技术错误,比如是否准确描述了ARP欺骗的过程和防御方法。可能需要参考提供的引用内容来确保准确性,比如引用[2]提到的Ettercap工具和拒绝服务攻击,引用[3]提到的ARPWatch检测原理,以及引用[4]中的ARP缓存管理命令。</think>### ARP欺骗的工作原理及防范措施 #### 1. ARP欺骗的定义 ARP(Address Resolution Protocol)欺骗是一种利用ARP协议设计缺陷的网络攻击技术。攻击者通过伪造ARP响应报文,篡改目标设备的ARP缓存表,导致网络流量被劫持或中断[^1]。 #### 2. ARP欺骗的工作原理 1. **ARP协议缺陷** ARP协议是无状态的,不会验证接收到的ARP响应是否合法。当设备收到ARP响应时,会直接更新本地ARP缓存表,即使未发送对应的ARP请求[^4]。 2. **攻击过程** - **伪造响应**:攻击者发送虚假ARP响应,声称“IP地址$A$对应的MAC地址是$M_{\text{攻击}}$”(实际应为$M_A$)。 - **缓存污染**:目标设备更新ARP表,将$A$的MAC地址错误映射为$M_{\text{攻击}}$。 - **流量劫持**:发往$A$的流量被重定向到攻击者机器,攻击者可实施中间人监听或直接丢弃数据包(拒绝服务攻击)[^2][^3]。 3. **攻击类型** - **中间人攻击**:窃取或篡改通信数据。 - **拒绝服务(DoS)**:通过伪造网关ARP条目中断目标网络连接[^2]。 #### 3. 防范措施 1. **静态ARP绑定** 在关键设备(如服务器、网关)上绑定IP与MAC地址的静态映射,防止被动态更新覆盖。 **操作示例**: ```bash arp -s 192.168.1.1 00-aa-00-62-c6-09 # Windows/Linux均支持 ``` 此命令将IP `192.168.1.1` 永久绑定到指定MAC地址。 2. **ARP检测工具** 使用工具(如`ARPWatch`)监控网络中的ARP报文,检测异常映射。 - **原理**:记录合法的IP-MAC对应关系,当检测到多次冲突或频繁请求时触发告警。 3. **网络隔离与加密** - **划分VLAN**:限制广播域范围,减少ARP欺骗的影响范围。 - **启用802.1X认证**:对接入设备进行身份验证,防止未授权设备接入。 - **使用HTTPS/SSH**:加密通信内容,即使流量被劫持也难以解密[^1]。 4. **动态ARP检测(DAI)** 在交换机上启用DAI功能,通过校验IP-MAC绑定关系(需配合DHCP Snooping)拦截非法ARP报文。 ---
评论
成就一亿技术人!
拼手气红包6.0元
还能输入1000个字符
 
红包 添加红包
表情包 插入表情
表情包 代码片
 条评论被折叠 查看
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值