ARP欺骗(ARP Spoofing)是一种网络攻击技术,攻击者通过伪造ARP(地址解析协议)消息,将其MAC地址与目标IP地址关联,从而实现对网络流量的截获、篡改或重定向。以下是ARP欺骗的详细信息:
一.理论
1. ARP协议概述
-
功能:ARP用于将IP地址解析为MAC地址,以便在局域网中进行数据传输。
-
工作原理:当设备需要发送数据到特定IP地址时,它会广播ARP请求,询问哪个设备拥有该IP地址。拥有该IP地址的设备会回复其MAC地址。
-
ARP的分类
ARP主要分为普通的ARP、免费ARP和代理ARP(此处主要介绍普通ARP和免费ARP)
普通ARP和免费ARP的作用
1、通过ARP的请求和应答报文,可以根据目的IP地址来解析其对应的MAC地址
2、发送免费ARP请求,可以探测本机的IP地址在广播域内是否冲突、告知其他网络节点自己的IP地址和MAC地址、更新其他网络节点的ARP缓存表
ARP报文中涉及的全0-MAC地址和全F-MAC地址
全F为数据链路层封装的MAC,表示二层广播发送(免费ARP应答的Target MAC也为全F,表示该目的IP对应的MAC为非未知的)
全0为ARP请求报文的Target MAC封住的,表示目的MAC未知
-
arp协议:即地址解析协议,将IP地址转换为对应的mac地址,属链路层协议
-
补充内容:计算机网络基础知识总结 | 菜鸟教程
2. ARP欺骗的原理
- 伪造ARP响应:攻击者向网络中的设备发送伪造的ARP响应,声称自己的MAC地址与目标IP地址相关联。
- 缓存中毒:受害者的ARP缓存会被更新,导致其将数据发送到攻击者的MAC地址,而不是目标设备。
- arp欺骗原理_arp欺骗的工作原理-CSDN博客
- ARP攻击最终的结果是导致网络中断,而ARP欺骗的最终结果是使得流量通过自身达到监控或控制的目的
3. 攻击目的
- 数据截获:攻击者可以监听和记录通过其设备传输的数据。
- 中间人攻击:攻击者可以修改数据包内容,例如篡改网页内容或注入恶意代码。
- 拒绝服务:通过不断发送伪造的ARP消息,使网络中的设备无法正常通信。
4. 攻击步骤
- 侦察:攻击者使用网络嗅探工具(如Wireshark)识别网络中的设备和IP地址。
- 发送伪造ARP消息:攻击者向网络中的设备发送伪造的ARP响应。
- 缓存中毒:受害者的ARP缓存被更新,导致数据流向攻击者。
- 数据截获和篡改:攻击者可以监听、记录或修改数据流。
vmware虚拟网卡配置Kali学习(ms17-010、ms08-067漏洞复现)_kali没有网络-CSDN博客
二.实验:
靶机 win7
默认网关:192.168.222.2
ip地址:192.168.222.132
攻击机:kali2023
ip地址:192.168.222.130
(一)arp断网攻击
1.在虚拟机中下载好arpspoof工具,并且查看好kali和win7的ip,看看相互ping能不能ping通
2. 利用命令查看存活主机,fping -g 192.168.222.0/24,查看当前局域网还存在那些主机,以确定要攻击的主机的ip地址
- fping:这是一个用于发送 ICMP Echo 请求的命令行工具,类似于
ping,但可以同时对多个主机进行 ping 操作。fping的优点是速度快,适合在大范围内进行网络探测。 -
-g:这个选项表示生成一个 IP 地址的列表。它会根据提供的网络地址范围生成所有可能的主机地址。
-
192.168.222.0/24:这是一个 CIDR(无类域间路由)表示法,表示一个子网。
192.168.222.0/24表示从192.168.222.0到192.168.222.255的所有 IP 地址(共 256 个地址),其中24表示网络部分的位数,即前 24 位为网络地址,后 8 位为主机地址。
3.命令格式:arpspoof -i 网卡 -t 目标ip 网关
其中,-i后面的参数是网卡名称,-t后面的参数是目的主机和网关,截取目标的主机发往网关的数据包
可见目标win7直接断网了
终止进程后
可以继续访问
(二)arp限速
大致概念:
当kali欺骗了网关和受害者的时候,受害者访问网络就需要经过kali的网卡,那我们限制kali网卡的速度或者转发的速度就可以限制对方的网速。这里可以使用的工具有tc、iptables、WonderShaper等等,我们以tc为例,tc是通过限制网卡的速度来限制对方的,是一种杀敌一千自损八百的手段。
在写这个之前,介绍工具:(TC)
在Linux中,流量控制都是通过TC这个工具来完成的。通常, 要对网卡进行流量控制的配置,需要进行如下的步骤:
◆ 为网卡配置一个队列;
◆ 在该队列上建立分类;
◆ 根据需要建立子队列和子分类;
◆ 为每个分类建立过滤器。
需要注意的是, 在TC 中使用下列的缩写表示相应的网络延迟:
时间的计量单位:
s、sec或者secs 秒
ms、msec或者msecs 毫秒
us、usec、usecs或者一个无单位数字 微秒
QDisc(排队规则) [qdɪsk]是queueing discipline [ˈkjuːɪŋ] [ˈdɪsəplɪn] 的简写,它是理解流量控制(traffic control)的基础。无论何时,内核如果需要通过某个网络接口发送数据包,它都需要按照为这个接口配置的qdisc(排队规则)把数据包加入队列。然后,内核会尽可能多地从qdisc里面取出数据包,把它们交给网络适配器驱动模块。
ARP限制网速攻击-CSDN博客
1.要限制网速,kali要先开启路由器转发功能
1.开启端口转发
cat /proc/sys/net/ipv4/ip_forward #值为0表示没开启流量转发,为1表示开启了
echo 1 > /proc/sys/net/ipv4/ip_forward #开启流量转发
2 .限速靶机
sudo tc qdisc add dev eth0 root netem delay 200ms解释:
sudo:这个命令以超级用户(root)权限执行,因为修改网络配置通常需要更高的权限。-
tc:这是Linux中用于流量控制的命令行工具。 -
qdisc:代表“队列规则”(Queueing Discipline),是用于管理数据包的调度和排队的机制。 -
add:表示添加一个新的队列规则。 -
dev eth0:指定要应用规则的网络设备,这里是eth0,通常是一个以太网接口。 -
root:表示这是一个根队列规则,所有流量都将经过这个规则。 -
netem:代表网络仿真(Network Emulation),用于模拟网络延迟、丢包、重排序等网络特性。 -
delay 200ms:设置网络延迟为200毫秒。这意味着通过eth0接口发送的数据包将会被延迟200毫秒后再发送出去
简单的说就是先把kali限速
可以看见,相比之前,响应速度增加了200ms
3.开启ARP攻击
arpspoof -i eth0 -t 192.168.222.132 192.168.222.2
这里和上面的断网攻击的区别就是,目标机器不会被断网,但是会被限速,而且比起上面的攻击,因为还可以与外界联系,所以很难被察觉
从这里可以看见攻击前后的响应速度差别
(最后的数据为取消arp欺骗的正常响应速度)
(三)ARP嗅探
同样的在使用arp欺骗前 先开启Kali的IP转发
开启IP转发后 流量会经过kali的主机而后再去到目标,
这时开启arpspoof进行欺骗后目标就不会断网,此时kali可拦截相关受害者主机相关信息,开启wireshark拦截受害者ping数据。
接下来就是流量分析的范畴了
来个简单的实用一点的工具使用,图片那个driftnet就不再演示了
urlsnarf(既能抓URL也能抓图片)
使用urlsnarf嗅探受害者访问了哪些网页,默认抓取80、8080、3128端口的数据。
开启路由转发功能,使用arpspoof开启欺骗,然后使用urlsnarf来抓,这个工具好用一些
第一步,开启数据转发
echo 1 > /proc/sys/net/ipv4/ip_forward
第二步,arp欺骗
arpspoof -i eth0 -t 192.168.222.132 198.168.222.2
第三步,实时抓取
urlsnarf -i eth0 #eth0是要抓的网卡
(需要重新开窗口)
urlsnarf -i eth0以下为结果展示
可见已经成功抓取到了这个流量,实际上也可以通过 wireshark来筛选分析流量,只是比这个要复杂。
