使用kali进行arp欺骗实现计算机网站访问截取
使用kali进行arp欺骗实现计算机网站访问截取
关于arp欺骗
简介
ARP欺骗(ARP spoofing),又称ARP毒化(ARP posioning)或ARP攻击,是针对以太网地址解析协议(ARP)的一种攻击技术。此种攻击客让攻击者获取局域网上的数据包甚至可以篡改数据包,并且可让网上特定计算机或所有计算机无法正常连线。
运作机制
ARP欺骗的运作原理是由攻击者发送假的ARP数据包到网上,尤其是送到网关上。其目的是要让送至特定的IP地址的流量被错误送到攻击者所取代的地方。因此攻击者可将这些流量另行转送到真正的网关(被动式数据包嗅探,passive sniffing)或是篡改后再转送(中间人攻击,man-in-the-middle attack)。攻击者亦可将ARP数据包导到不存在的MAC地址以达到阻断服务攻击的效果,例如netcut软件。
例如某一的IP地址是192.168.0.254,其MAC地址为00-11-22-33-44-55,网上上的计算机内ARP表会有这一笔ARP记录。攻击者发动攻击时,会大量发出已将192.168.0.254的MAC地址篡改为00-55-44-33-22-11的ARP数据包。那么网上上的计算机若将此伪造的ARP写入自身的ARP表后,计算机若要透过网上网关连到其他计算机时,数据包将被导到00-55-44-33-22-11这个MAC地址,因此攻击者可从此MAC地址截收到数据包,可篡改后再送回真正的网关,或是什么也不做,让网上无法连线。
简单案例分析:这里用一个最简单的案例来说明ARP欺骗的核心步骤。假设在一个LAN里,只有三台主机A、B、C,且C是攻击者。
- 攻击者聆听局域网上的MAC地址。它只要收到两台主机洪泛的ARP Request,就可以进行欺骗活动。
- 主机A、B都洪泛了ARP Request.攻击者现在有了两台主机的IP、MAC地址,开始攻击。
- 攻击者发送一个ARP Reply给主机B,把此包protocol header里的sender IP设为A的IP地址,sender mac设为攻击者自己的MAC地址。
- 主机B收到ARP Reply后,更新它的ARP表,把主机A的MAC地址(IP_A, MAC_A)改为(IP_A, MAC_C)。
- 当主机B要发送数据包给主机A时,它根据ARP表来封装数据包的Link报头,把目的MAC地址设为MAC_C,而非MAC_A。
- 当交换机收到B发送给A的数据包时,根据此包的目的MAC地址(MAC_C)而把数据包转发给攻击者C。
- 攻击者收到数据包后,可以把它存起来后再发送给A,达到偷听效果。攻击者也可以篡改数据后才发送数据包给A,造成伤害。
限制方法
最理想的防制方法是网上内的每台计算机的ARP一律改用静态的方式,不过这在大型的网上是不可行的,因为需要经常更新每台计算机的ARP表。
另外一种方法,例如DHCP snooping,网上设备可借由DHCP保留网上上各计算机的MAC地址,在伪造的ARP数据包发出时即可侦测到。此方式已在一些厂牌的网上设备产品所支持。
有一些软件可监听网上上的ARP回应,若侦测出有不正常变动时可发送邮箱通知管理者。例如UNIX平台的Arpwatch以及Windows上的XArp v2或一些网上设备的Dynamic ARP inspection功能。
正当用途
ARP欺骗亦有正当用途。其一是在一个需要登录的网上中,让未登录的计算机将其浏览网页强制转向到登录页面,以便登录后才可使用网上。另外有些设有备援机制的网上设备或服务器,亦需要利用ARP欺骗以在设备出现故障时将讯务导到备用的设备上。
实验环境
攻击机:Kali Linux IP地址:192.168.179.129
靶机:Windows 7 IP地址:192.168.179.130
工具:arpspoof、wireshark、tcpdump
实验过程
网络模式设置
首先要保证攻击机和靶机处在同一局域网下,这里我们只需要把两台虚拟机的网络模式设置为相同的即可,我这里的网络模式设置为NAT模式,如下图所示。
地址扫描
现在我们知道了两台机器处于同一局域网下,但是我们并不知道靶机的IP地址,所以我们需要利用netdiscover工具对同一网段下的存货主机进行探测。
首先我们查看一下Kali攻击机的IP地址,如下图所示:
然后我们利用netdiscover工具进行地址扫描,命令如下:
netdiscover
发起攻击
在成功拿到了靶机的ip地址后,我们利用arpspoof工具开始对靶机发起arp攻击,arpspoof的具体使用方法可以使用以下命令查看:
man arpspoof
名字
arpspoof - 截获交换局域网中的数据包
用法
arpspoof [-i interface] [-c own|host|both] [-t target] [-r] host
描述
arpspoof通过伪造的ARP响应包改变局域网中从目标主机(或所有主机)到另一个主机(host)的数据包转发路径。这是交换局域网中嗅探网络流量的一种极为有效的方法。
内核IP转发(或如fragrouter这样的、用户层面的、能完成同样功能的软件)必须提前开启。
参数
-i interface
指定要使用的接口(即指定一块网卡)
-c own|host|both
指定在恢复ARP配置时使用的硬件地址;当在清理(cleaning up)时,数据包的源地址可以用自己的也可以用主机(host)的硬件地址。
使用伪造的硬件地址可能导致某些配置下的交换网络、AP网络或桥接网络通信中断,然而它比起默认值————使用自己的硬件地址要工作地更为可靠。
-t target
指定一个特殊的、将被ARP毒化的主机(如果没有指定,则认为是局域网中所有主机)。重复可以指定多个主机。
-r 毒化两个主机(目标和主机(host))以捕获两个方向的网络流量。(仅仅在和-t参数一起使用时有效)
host host是你想要截获数据包的主机 (通常是网关)。
攻击命令如下:
arpspoof -t 192.168.179.130 192.168.179.1 -i eth0
-t 参数后的第一个IP地址是要欺骗的主机,第二个IP地址是你要伪装成的主机(即网关)
可以看到,arpspoof已经成功向目标靶机发送了数据包。
截获数据
这时,我们打开抓包工具wireshark,抓取eth0网卡上的数据包。
为了方便识别是否截获到流量,我们在靶机上访问百度,看看能否截获到相应的数据。
访问完成后,停止抓包,查看截获的流量包中是否存在访问百度所产生的数据。
可以看到,成功获取到了靶机(192.168.179.130)访问百度的数据包,这说明我们的arp欺骗已经完成。