目录
每一个主机都有一个ARP高速缓存,此缓存中记录了最近一段时间内其它IP地址与其MAC地址的对应关系。如果本机想与某台主机通信,则首先在ARP高速缓存中查找此台主机的IP和MAC信息,如果存在,则直接利用此MAC地址构造以太帧;如果不存在,则向本网络上每一个主机广播一个ARP请求报文,其意义是"如果你有此IP地址,请告诉我你的MAC地址",目的主机收到此请求包后,发送一个ARP响应报文,本机收到此响应后,把相关信息记录在ARP高速缓存中,以下的步骤同上。
ARP报文格式
可以看出,ARP协议是有缺点的,第三方主机可以构造一个ARP欺骗报文,而源主机却无法分辨真假。如果发送者硬件地址字段填入攻击者的硬件地址,而发送者IP地址填入被假冒者的IP地址,那么就构造出了一个用于欺骗的ARP请求报文。那么被欺骗主机的ARP高速缓存,被假冒者的IP地址与其MAC地址的对应关系就会更改为欺骗者的,从而达到ARP欺骗的目的。特别的,如果攻击者冒充网关,将转发子网内到外网的所有通信量,以达到捕获其他主机的通信量,从而破坏数据传输的保密性。
ARP欺骗的运作原理是由攻击者发送假的ARP数据包到网上,尤其是送到网关上。. 其目的是要让送至特定的IP地址的流量被错误送到攻击者所取代的地方。因此攻击者可将这些流量另行转送到真正的网关(被动式数据包嗅探,passive sniffing)或是篡改后再转送( 中间人攻击 ,man-in-the-middle attack)。攻击者亦可将ARP数据包导到不存在的 MAC地址 以达到阻断服务攻击的效果。
系统环境:Kali Linux 2、Windows
网络环境:交换网络结构
实验工具:Arpspoof、WireShark
1.先用ifconfig查询主机(kali)ip,然后用nmap扫描出同网段下的靶机(win7)。
2.用route -n得到靶机所处的网关
3.在进行ARP欺骗前需要打开arp转发命令
echo 1>/proc/sys/net/ipv4/ip_forward
如果把1改为0,则为关闭,靶机的数据包发不出去,则会使靶机断网。
arpspoof的命令格式为:arpspoof -i 网卡 -t 目标ip 网关
输入命令:arpspoof -i eth0 -t 192.168.131.130 192.168.131.2
如图所示,靶机被断网了。
接下来打开arp转发命令,进行arp欺骗。
靶机又恢复了网络
4.打开wireshark,输入ip.addr==192.168.131.130,抓取靶机的数据。
5.用靶机登录××生活网,进入登录界面登录,随便输入。
6.此时打开wireshark ,看看在主机(kali)是否能抓取靶机输入的账号和密码。
可以看到刚才登录的账号是:13100436564 密码是:12121212
