网络安全之 ARP 欺骗防护

news/2024/11/30 7:37:20/

ARP 协议

什么是 MAC 地址

MAC 地址是固化在网卡上的网络标识,由 Ieee802 标准规定。

什么是广播

向同一个网段内的设备,发送数据包,广播 IP 地址是同网段最后一个 IP 地址。

认识 ARP 协议

ARP 的全称是地址解析协议,我们通过 ARP 协议获取对方的 MAC 地址,PC 机发送 ARP 协议包,通过交换机,到达目标 IP 地址的 PC 机,从而获取对方的 MAC 地址,但是 ARP 有一个限制,那就是必须在同一个网段内,也就是说交互地址信息的 PC 机是在一个局域网内。

ARP 协议原理

ARP 是请求包,只要是同一个网段的都可以收到。

ARP 协议是 TCP/IP 模型网络层的协议,网络层是对传输层传下来的数据段进行封装,形成数据包,而对于数据包而言,它只关心 IP 地址,因为网络层是根据 IP 地址,确认这个数据包传给谁的。

而在网络的传输中,数据包在数据链路层被封装成以太网帧,而以太网帧是通过首部的 MAC 地址来寻找设备,所以,当我们向目标机器发送数据的时候,我们要先得到目标机器的 MAC 地址。

在数据链路层,以太网帧是根据前端的 MAC 地址,找寻到目标机器的网卡,从而向他交付数据包,目标机器在接收到数据包的时候,会判断数据包的 MAC 地址跟自己的 MAC 地址是不是一样的,一样的,就会向上传。

也就是说,当我们不知道目标机器的 MAC 地址的时候,我们是无法向它传递数据包的,这个时候,就用到了我们的 ARP 协议,也就是 ARP 请求,这个请求是一个广播包,它会询问同一个局域网内,目标机器 IP 地址,它的 MAC 地址是多少,当目标机器接收到这个广播包的时候,发现它的 IP 地址正是自己,这个时候,目标机器就会以单播的方式,返回一个数据包,这个数据包里,就有我们想要的目标机器的 MAC 地址。

ARP 缓存

现在,我们知道了,当我们给一个 PC 机发送 ARP 请求的时候,它会通过广播的方式,询问目标机器的 MAC 地址,那如果,我们每次要向目标发送数据包的时候,都要 ARP 请求的话,就很麻烦了,这个时候,我们就想到了 ARP 缓存表,把之前获取到的 IP 地址和 MAC 地址对应起来,存储下来,当我们在下一次使用的时候,就可以直接调用 ARP 缓存表的数据,对目标 IP 地址进行访问。

通过对 ARP 缓存的使用,有效降低了网络拥塞,在一定程度上防止了 ARP 的大量广播,在一般情况下,ARP 缓存不仅发送方会缓存 MAC 地址表,接收方也会,缓存下来的 MAC 地址,有一定的有效期,过了这段时间,缓存就无效了。

ARP 协议拓展

根据 ARP 协议,还搞出了一个 RARP 协议,它的全称是逆地址解析协议,顾名思义,它的功能跟 ARP 协议是反过来的,它是通过 MAC 地址获得对方的 IP 地址,在这里,大家,会联想到 DHCP 协议,DHCP 协议,就是用来自动分配 IP 地址的,它分配地址的原理,就是根据 RARP 协议,将 MAC 地址转成 IP 地址。

【一一帮助安全学习,所有资源获取处一一】

①网络安全学习路线

②20 份渗透测试电子书

③安全攻防 357 页笔记

④50 份安全攻防面试指南

⑤安全红队渗透工具包

⑥信息收集 80 条搜索语法

⑦100 个漏洞实战案例

⑧安全大厂内部视频资源

⑨历年 CTF 夺旗赛题解析

数据包结构

[外链图片转存失败,源站可能有防盗链机制,建议将图片保存下来直接上传(img-ROpNw7Zk-1658488892426)(https://upload-images.jianshu.io/upload_images/26472780-fa4f91376576c91a.png?imageMogr2/auto-orient/strip%7CimageView2/2/w/1240)]

ARP 协议包

实验环境:

PC1:物理机 win10(IP:192.168.42.1)【在此启动虚拟机】

PC2:虚拟机 kali(IP:192.168.42.128)

Wireshark(数据包流量捕获器)

根据我们使用的网卡选择对应的捕获选项,因为我们的 Kali 网络模式选择的是 Nat 模式,所以我们选择 Vmnet8。

在物理机上执行 Ping 命令,并输出如下信息[外链图片转存失败,源站可能有防盗链机制,建议将图片保存下来直接上传(img-YNBqlSgW-1658488892429)(https://upload-images.jianshu.io/upload_images/26472780-6e8af286ec034acc.png?imageMogr2/auto-orient/strip%7CimageView2/2/w/1240)]

在 Wireshark 中筛选出 ARP 协议,查看抓包记录

查看捕获的 ARP 数据包,第一个为 ARP 请求包

其中第一帧有着数据包的详细信息,其中包括包的发送时间、包的大小、包的类型

第二帧表示以太网帧头部信息,其中源 MAC 地址为 00:50:56:c0:00:08(物理机),目标 MAC 地址为 ff:ff:ff:ff:ff:ff(广播地址)[外链图片转存失败,源站可能有防盗链机制,建议将图片保存下来直接上传(img-qo1crHBd-1658488892444)(https://upload-images.jianshu.io/upload_images/26472780-8c0c553f0de5582f.png?imageMogr2/auto-orient/strip%7CimageView2/2/w/1240)]

第三帧的内容为 ARP 协议内容,Request 表示该包是一个请求包。请求包中的详细内容,如下所示

我们用同样的方式去分析 ARP 的响应包[外链图片转存失败,源站可能有防盗链机制,建议将图片保存下来直接上传(img-IYSV7y16-1658488892447)(https://upload-images.jianshu.io/upload_images/26472780-fd77763211119571.png?imageMogr2/auto-orient/strip%7CimageView2/2/w/1240)]

其中,以下内容表示第一帧数据包的详细信息,其中包的大小为 60 字节[外链图片转存失败,源站可能有防盗链机制,建议将图片保存下来直接上传(img-qCHfD38a-1658488892450)(https://upload-images.jianshu.io/upload_images/26472780-090f9f2708018e6c.png?imageMogr2/auto-orient/strip%7CimageView2/2/w/1240)]

第二帧包含帧的头部信息,源 MAC 地址(00:0c:29:01:7d:67),目标 MAC 地址(00:50:56:c0:00:08),其中源 MAC 地址是 Kali,目标 MAC 地址是物理机[外链图片转存失败,源站可能有防盗链机制,建议将图片保存下来直接上传(img-GstZLbrf-1658488892456)(https://upload-images.jianshu.io/upload_images/26472780-5b2d8eee9a31ced4.png?imageMogr2/auto-orient/strip%7CimageView2/2/w/1240)]

第三帧,Reply 表示该包是一个响应包[外链图片转存失败,源站可能有防盗链机制,建议将图片保存下来直接上传(img-sA56imrN-1658488892460)(https://upload-images.jianshu.io/upload_images/26472780-ac9f69656033edfc.png?imageMogr2/auto-orient/strip%7CimageView2/2/w/1240)]

ARP 协议与二层主机发现

二层主机发现

利用 TCP/IP 模型中链路层中的 ARP 协议,进行主机发现。好处就是 ARP 协议在局域网当中使用,局域网当中的数据包是不经过路由器,所以它的速度是比较快,而且数据包不会被过滤,因此能够保证我们的数据包能够到达我们的目标,而且接收到目标的响应,从而确认目标是否存在。坏处就是只能在一个子网中,进行二层发现。

Kali linux 自带工具 Netdiscover 可以针对特定子网进行多主机扫描。

<pre>netdiscover -h //查看帮助信息</pre>

-i 指定你的网卡

-r 扫描指定范围

-l 加载一个文件,文件当中包含我们要扫描的范围

-p 不发送任何的数据包,只做为嗅探,这样的一个过程,是不会被我们网络当中的设备发现,因为它只进行嗅探,将数据包发送到目标去,它就会确认当前主机是存活状态

-m扫描一个已知的MAC地址表或者是主机名
-f过滤,自定义过滤PCAP发送包的表达式
-s当我们发送arp请求时,我们每次休息几毫秒
-n表示一个节点,上一次IP的十进制来进行扫描
-c扫描的次数
-f快速扫描,来节约大量时间
-d忽略配置文件以及快速模式
-S在每一个请求过程中,开启休息时间
-p输出结果
-N不输出对应的头
-L一个输出模式,确定存活性扫描后,我们进行输出

复制代码

我们选择一条命令试一下

netdiscover -r 192.168.42.1/24[外链图片转存失败,源站可能有防盗链机制,建议将图片保存下来直接上传(img-sYXEG8m5-1658488892465)(https://upload-images.jianshu.io/upload_images/26472780-ab640775127ef123.png?imageMogr2/auto-orient/strip%7CimageView2/2/w/1240)]

这样子就证明了这些子网的 IP 地址是存活状态

ARP 地址欺骗

正常情况下:连接出口路由器的靶机,访问外网时,会将数据发送给出口路由器,再由出口路由器将数据发送到外网。

不正常的情况下:攻击者欺骗靶机,告诉他出口路由器是我的 MAC 地址,靶机相信了他的话,把访问外网的数据包错误的发送给了攻击者的 MAC 地址,导致靶机收不到外网返回的数据包,导致断网,这就是 ARP 欺骗。

ARP 地址欺骗过程

首先我们准备两台虚拟机,一台是 Kali,用来做攻击机,另一台是Winserver2003,做为靶机,两台虚拟机网络模式,都采用 Nat 模式,处于同一个局域网下。

第一步,Netdiscover 发现同一个网段中的主机,寻找攻击目标

netdiscover -r 192.168.42.1/24[外链图片转存失败,源站可能有防盗链机制,建议将图片保存下来直接上传(img-3cDL52JQ-1658488892474)(https://upload-images.jianshu.io/upload_images/26472780-8e5b430c752c3eee.png?imageMogr2/auto-orient/strip%7CimageView2/2/w/1240)]

192.168.42.1是本机的 IP 地址,192.168.42.2是虚拟机的网关、192.168.42.236是靶机的 IP 地址

第二步,确认攻击目标处于联网状态[外链图片转存失败,源站可能有防盗链机制,建议将图片保存下来直接上传(img-Ou12rO8i-1658488892477)(https://upload-images.jianshu.io/upload_images/26472780-cbc3d7a199da27bb.png?imageMogr2/auto-orient/strip%7CimageView2/2/w/1240)]

然后在攻击机 Kali 上发起攻击

arpspoof -i eth0 -t 靶机 Ip 地址 靶机网关arpspoof -i eth0 -t 192.168.42.236 192.168.42.2//欺骗主机192.168.42.236,网关192.168.42.2的 mac 地址是 kali 虚拟机物理接口 eth0 的 mac 地址

看到靶机无法上网[外链图片转存失败,源站可能有防盗链机制,建议将图片保存下来直接上传(img-mEIoqGKJ-1658488892481)(https://upload-images.jianshu.io/upload_images/26472780-d59f3574062f6683.png?imageMogr2/auto-orient/strip%7CimageView2/2/w/1240)]

然后再到攻击机 Kali 上停止攻击

ctrl+z

等待一段时间后,发现靶机恢复正常[外链图片转存失败,源站可能有防盗链机制,建议将图片保存下来直接上传(img-E9lKpBYj-1658488892485)(https://upload-images.jianshu.io/upload_images/26472780-382c00fec3bc313a.png?imageMogr2/auto-orient/strip%7CimageView2/2/w/1240)]

ARP 地址欺骗防护

上网的设备统一采用 MAC 地址静态绑定,同时上安全设备进行保护。


http://www.ppmy.cn/news/746999.html

相关文章

警惕!又一起网络钓鱼攻击事件:Uniswap被盗810万美元

2022年7月12日&#xff0c;Uniswap V3 平台遭受了网络钓鱼攻击。据Tokenview数据显示&#xff0c;攻击者已盗取7,573枚ETH&#xff0c;价值约810万美元。 CZ预警 Binance首席执行官CZ发推提醒&#xff0c;黑客在Uniswap V3平台上窃取了4,295枚ETH。最初CZ将这次攻击解释为Uni…

黑客可通过伪Wi-Fi信号窃取用户数据

网络研究人员证明&#xff0c;黑客可以通过一种利用Wi-Fi信号作为隐蔽通道的新颖技术从气隙隔离的计算机中窃取敏感数据&#xff0c;这令人惊讶的是&#xff0c;不需要在目标系统上使用Wi-Fi硬件。 该攻击被称为“ AIR-FI ”&#xff0c;其攻击在于在受感染的系统中部署经过特殊…

WiFi 协议漏洞可用于劫持网络流量

聚焦源代码安全&#xff0c;网罗国内外最新资讯&#xff01; 编译&#xff1a;代码卫士 网络安全公司的研究员在 IEEE 802.11 WiFi 协议标准中发现一个根本性漏洞&#xff0c;可导致攻击者诱骗访问点以明文形式泄漏网络框架。 WiFi 框架是由表头、数据payload 和封装尾组成的数…

IP地址被盗用解决方案

盗用IP地址也算是屡见不鲜的事情了&#xff0c;在IPV4的时代&#xff0c;IP地址是一种稀缺的资源&#xff0c;也由此衍生了盗用IP地址的做法&#xff1b;到到了IPV6时代&#xff0c;IPV6地址个数为16^322^128个&#xff0c;大约是3.4E38&#xff0c;以地球目前的容量来看&#…

手把手教你防止无线网络被盗用

[原创教程] 手把手教你防止无线网络被盗用 跳转到 楼 只看该作者 楼主 发表于 2009-12-14 22:01 | 倒序浏览 - 本篇以全文字形式描述防止无线网络被盗用&#xff0c;步骤只有2个相当的简单&#xff0c;就算是菜鸟中的战斗机也能学会。希望你耐心的看&#xff0c;看明白后保证…

邮箱被盗,受到网络钓鱼攻击,如何甄别规避?

文章目录 前言&#x1f680; 一、概述&#x1f680; 二、事件分析&#x1f308; 2.1 邮件投递&#x1f308; 2.2 实施诈骗 &#x1f680; 三、资产分析&#x1f308; 3.1 资产特点&#x1f308; 3.2 溯源结果 前言 微步情报局监测发现多起黑产组织针对国内手机用户的邮件和短信…

网络入侵敲响警钟,数据安全不容忽视!

提起网络安全&#xff0c;很多人都会想到黑客入侵&#xff0c;DDoS攻击&#xff0c;这些大多数是对个人电脑的攻击&#xff0c;但实际上&#xff0c;在网络世界里&#xff0c;个人与企业同样需要重视网络安全&#xff0c;尤其是很多企业把数据上云&#xff0c;这个时候对数据资…

计算机检查到的无线路由信息,怎么检查自己的无线Wifi是否被盗用偷网

我们在生活中&#xff0c;可能随时就是在Wifi中&#xff0c;甚至会离不开它。然而&#xff0c;有时会发现自己的Wifi网速特别慢&#xff0c;可能你的Wifi已经被别人盗用了。怎么查看自己的Wifi被盗用呢&#xff1f;下面我就介绍一下具体怎么检查自己的无线Wifi是否被盗用偷网&a…