第五章區域網的ARP 欺騙

arp欺騙僅限於區域網。

arp欺騙雖然僅限於區域網，但卻能讓我們掌握網路的布局，以及如何通訊；所以，我覺得這個章節非常有用。

kali linux預設是不**ip，如果我們直接arpspoof監控目標主機，會致使目標主機連不上網；所以我們要設定ip**。

命令：echo 1 > /proc/sys/net/ipv4/ip_forward

設定ip**後，可以在監控目標主機同時，不妨礙目標主機聯網（可能會導致目標主機網速變慢）

監控命令：driftnet -i eth0

輸入命令後會彈出乙個視窗，通過這個視窗可以監控本機瀏覽的。

通過監控本機流量，我們知道arpspoof具有監控流量的功能。

他是可以監控到其他裝置的流量。

步驟，把物件指向閘道器和目標ip就可以實現監控其他裝置流量的效果。

命令：arpspoof -i eth0 -t 192.168.1.2 192.168.1.1 (-i後面的是網絡卡名稱，-t後面的是目標ip和閘道器）

輸入命令後，目標主機的上網流量就會經過我的主機。

視窗一般沒有資訊，是因為大部分**走https；

arp欺騙是無法監控https**的內容的，除非切斷目標主機訪問https**，使其重定向到http。

還有第二種方法，就是偽造https證書（代價太高）

除了以上的監控方法，還可以抓包對監控的目標主機抓取有用的資訊。

這裡用的是wireshark。

通過抓包，可以獲取到更多有用的資訊（有驚喜）

arp是怎樣欺騙成功呢？

先從tcp開始，一步一步了解網路通訊原理。

tcp有三次握手，四次揮手的說法。

也就是說，用tcp協議通訊，必須進行三次握手，在第四次揮手結束會話。

列子：a主機→我要傳送資訊給你→b主機

a主機（開啟監控狀態）←你發吧←b主機（開啟監控狀態）

a主機→我發了→b主機

經過三次會話握手後，兩個主機間才能夠正常通訊。

傳送的報文正是上圖所示。

source port 是源埠號，distination port 是目標埠號。

源埠就是本地埠，目標埠就是遠端埠；他們分別是兩者通訊的視窗。

整體實現原理，埠+ip+目的埠+ip共同完成兩個主機的連線。

sequence numbe

sequence numbe起到保證資料報傳送前後的作用，讓資料報有序傳送和達到。有著先發先到的作用。

acknowledgment numbe

acknowledgment numbe 確認序列號，起到確認收到的作用；如，a主機傳送資料給b主機，b主機收到之後返回乙個狀態ack=1給a主機，告訴a主機已經收到資訊。（同時，它可以避免丟包問題）

icmp和arp協議

icmp 協議主要作用是確認網路通不通，確認資料報送到目標主機；通知在通訊過程資料報被丟棄的原因。

arp協議稱為位址解析協議。

也是我們本章節的主要內容。

兩個主機在通訊過程中，本地主機需要通過目標主機的ip獲取mac位址。

而mac位址是燒錄在硬體裝置上面的，是唯一的；相當於人的身份證。

a主機怎麼知道目標主機的mac位址呢？

在區域網中，a主機通過在閘道器傳送arp廣播，讓所有主機都收到arp廣播訊號，如果目標主機收到訊號，就會告訴a主機，我是目標主機。如果其他主機收到a主機發出的廣播，拆開資料報發現不是給自己的，會自動丟棄。

**arp欺騙過程：

arp欺騙是通過收到的arp廣播，以欺騙的方式返回a主機乙個欺騙訊號，告訴a主機，我才是目標主機。

c作為欺騙主機，返回給a主機的欺騙訊號很多，遠遠大於目標主機返回的訊號數量。

當a主機收到不同的返回訊號。

a主機是無法識別真假的。

所以，a主機的資料流量都跑到c主機上面了。

如果c主機沒有把這些資料報妝發出去，a主機是無法聯網的。

我們通過ip**，讓a主機的資料流量經過c主機（欺騙），然後**到閘道器，最後傳送給真正的目標主機，讓a主機繼續訪問目標主機，實現繼續上網的功能。

在這個過程中，c主機已經成功監控a主機傳送資料的流量了。

第五章區域網的ARP 欺騙

ettercap區域網arp欺騙，輕鬆竊密

區域網安全利用ARP欺騙劫持Cookie

區域網內的攻擊 Arp欺騙

第五章 區域網的ARP 欺騙

ettercap區域網arp欺騙，輕鬆竊密

區域網安全 利用ARP欺騙劫持Cookie

區域網內的攻擊 Arp欺騙

相關推薦

第五章區域網的ARP 欺騙

區域網安全利用ARP欺騙劫持Cookie