arp(address resolution protocol)是位址解析協議,是一種將ip位址轉化為實體地址的協議。具體來說就是將網路層位址(ip)解析為資料鏈路層的實體地址(一般為mac位址)。在區域網中,資料本質是根據mac位址進行傳輸投放。而arp欺騙本質是利用arp協議本身機制的不完善進行攻擊。
比如機器a向機器b傳送訊息,首先查詢本地的arp快取表,若快取表中存在機器b的ip和mac位址的對應表,則按快取表的mac位址進行傳送資料。若沒有,則向區域網中廣播請求機器b這個ip的mac位址,若機器c收到這個請求,將自己的mac的位址回覆給機器a的請求,此時機器a的arp快取表中就對應機器b的ip和機器c的mac位址。此時所有本應傳送給機器b的資料均為被機器c收到。同樣,機器c也可以主動惡意廣播,使機器a的arp快取表主動更新。arp欺騙可以導致區域網的敏感資訊洩露以及網路中斷,常用於黑客在內網滲透。
攻擊機:kali(192.168.5.160)
被攻擊機:windows(192.168.5.149)
3.1 正常windows系統 192.168.5.149
arp -a 檢視本地arp快取
檢視閘道器
正常檢視baidu.com的路由
3.2 攻擊機 192.168.5.160
執行echo 1 > /proc/sys/net/ipv4/ip_forward 進行ip**,防止arp欺騙時,中招機器斷網
執行arpspoof -i eth0 -t 192.168.5.149 192.168.5.2,對5.149進行欺騙,將5.2的mac位址替換成自己本機
這裡可以看到攻擊機5.160和被欺騙的閘道器的mac位址是相同的,此時檢視baidu.com的路由
可以看到路由先經過5.160,再**到5.2
此時由5.149機器發出的流量均會經過5.160的**至閘道器,因此通過arp欺騙可以獲取5.149上的發出的敏感資訊,如登入資訊等
例如這裡在5.149上訪問,在5.160上就可以實時顯示該的資訊
windows 下 arp -a ,linux下arp -n 檢視是否存在乙個mac位址匹配多個ip的情況,若有,則被arp欺騙攻擊
windows 下 tracert baidu.com ,linux 下traceroute baidu.com ,檢視路由的第乙個位址是否為閘道器位址,若不是,第乙個位址就是攻擊機
在主機繫結閘道器mac與ip位址為靜態。 arp -s閘道器ip 閘道器mac
注意:使用arp -s的時候可能存在arp 項新增失敗:拒絕訪問
解決:3.1 netsh i i show in 檢視本地連線的idx
3.2 netsh -c "i i" add neighbors 11 "閘道器ip" "閘道器mac"
4.在閘道器維護主機mac和ip位址的繫結表
嗅探 欺騙 ARP欺騙
二 kali上實現arp欺騙 三 防範arp欺騙 arp欺騙 arp spoofing 又稱arp毒化或arp攻擊。它是針對乙太網位址解析協議 arp 的一種攻擊技術。通過欺 域網內訪問者的閘道器mac位址,使訪問者錯以為攻擊者更改後的mac位址是閘道器的mac,導致應當發往閘道器地資料報傳送到攻擊...
ARP欺騙原理
乙太網內的嗅探sniff對於網路安全來說並不是什麼好事,雖然對於網路管理員能夠跟蹤資料報並且發現網路問題,但是如果被破壞者利用的話,就對整個網路構成嚴重的安全威脅。arp快取表假設這樣乙個網路 e cellspacing 0 bordercolordark ffffff cellpadding 2 ...
ARP欺騙種類
arp欺騙是黑客常用的攻擊手段之一,arp欺騙分為二種,一種是對 路由器arp表的欺騙 另一種是對內網pc的 閘道器欺騙。第一種arp欺騙的原理是 截獲閘道器資料。它通知 路由器一系列錯誤的內網mac位址,並按照一定的頻率不斷進行,使真實的位址資訊無法通過更新儲存在路由器中,結果路由器的所有資料只能...