linux下的ARP攻击(kali)

这是我的学习总结,刚入坑网络安全,写的不好或者有什么错误的希望大佬们指正


首先了解ARP的作用以及原理:

ARP(Address Resolution Protocol,地址解析协议)是一个位于TCP/IP栈中的网络层,负责将某个ip地址解析成对应的MAC地址,ARP协议的基本功能就是通过目标设备的IP地址,查询目标设备的MAC地址,以保证通信的进行,当然还有最重要的一点 它一般只能在内网进行,无法对外网(互联、非本区域内的局域网)进行攻击。

                                 

ARP攻击就是通过伪造IP地址和MAC地址实现ARP欺骗,能够在网络中产生大量的ARP通信量,攻击者只要持续不断的发出伪造的ARP响应包就能更改目标主机ARP缓存中的IP-MAC条目,造成网络中断或中间人攻击。攻击者向电脑A发送一个伪造的ARP响应,告诉电脑A:电脑B的IP地址192.168.100.2对应的MAC地址是00-aa-00-62-c6-03,电脑A信以为真,将这个对应关系写入自己的ARP缓存表中,以后发送数据时,将本应该发往电脑B的数据发送给了攻击者。同样的,攻击者向电脑B也发送一个伪造的ARP响应,告诉电脑B:电脑A的IP地址192.168.100.1对应的MAC地址是00-aa-00-62-c6-03,电脑B也会将数据发送给攻击者。至此攻击者就控制了电脑A和电脑B之间的流量,他可以选择被动地监测流量,获取密码和其他涉密信息,也可以伪造数据,改变电脑A和电脑B之间的通信内容。

什么是ARP欺骗?

在局域网中,攻击者经过收到的ARP Request广播号,能够偷听到其它节点的 (IP, MAC) 地址, 黑客就伪装为A,告诉B (受害者) 一个假地址,使得B在发送给A 的数据包都被黑客截取,而A, B 浑然不知。这种情况是没有办法防止的,它的危害也不是很大。因为一般服务器通常不会和终端主机在同一个局域网。


废话不多说,直接上手

此次试验环境为靶机和ftp服务器之间的arp中间人

靶机     ip:10.90.100.53   mac:04:69:f8:db:75:6b

中间人kali   ip:10.90.100.242   mac:00:0c:29:a7:16:35

FTP服务器   ip:10.90.100.68    mac:00:0c:29:bb:44:56

实验网络拓扑图

   

第一步:kali开启转发功能

echo 1 > /proc/sys/net/ipv4/ip_forward

第二步:arp攻击前靶机ARP表中FTP服务器的mac地址

( 查看arp是否正常)

  

第三步:用arpspoof实现双向欺骗

对10.90.100.68进行欺骗,并且告诉它是10.90.100.53

第四步:在靶机上查看FTP服务器mac地址以验证是否欺骗成功

第五步:使用工具tcpdump监听ftp端口21端口并将所截获数据包导入到1.txt中(如没有1.txt,则自动新建)

tcpdump -nn -X -i eth0 tcp prot 21 > 1.txt

第六步查看数据包并查找有用信息

防御方法: 将IP和mac地址双向绑定,设置为静态绑定

 

参考文章:https://www.cnblogs.com/0day-li/p/6059297.html

posted @ 2020-03-02 15:38  simon7s  阅读(3030)  评论(0编辑  收藏  举报