###一:ARP概述
ARP(Address Resolution Protocol)是地址解析協議,是一種將IP地址轉化爲物理地址的協議。具體來說就是將網絡層地址(IP)解析爲數據鏈路層的物理地址(一般爲mac地址)。在局域網中,數據本質是根據mac地址進行傳輸投放。而ARP欺騙本質是利用arp協議本身機制的不完善進行攻擊。
###二:ARP欺騙原理
比如機器A向機器B發送消息,首先查詢本地的ARP緩存表,若緩存表中存在機器B的IP和mac地址的對應表,則按緩存表的mac地址進行傳送數據。若沒有,則向局域網中廣播請求機器B這個IP的mac地址,若機器C收到這個請求,將自己的mac的地址回覆給機器A的請求,此時機器A的arp緩存表中就對應機器B的IP和機器C的mac地址。此時所有本應傳送給機器B的數據均爲被機器C收到。同樣,機器C也可以主動惡意廣播,使機器A的ARP緩存表主動更新。ARP欺騙可以導致局域網的敏感信息泄露以及網絡中斷,常用於黑客在內網滲透。
###三:ARP欺騙攻擊演示
攻擊機:kali(192.168.5.160)
被攻擊機:Windows(192.168.5.149)
####3.1 正常windows系統 192.168.5.149
arp -a 查看本地arp緩存
查看網關
正常查看baidu.com的路由
####3.2 攻擊機 192.168.5.160
執行echo 1 > /proc/sys/net/ipv4/ip_forward 進行IP轉發,防止arp欺騙時,中招機器斷網
執行arpspoof -i eth0 -t 192.168.5.149 192.168.5.2,對5.149進行欺騙,將5.2的mac地址替換成自己本機
這裏可以看到攻擊機5.160和被欺騙的網關的mac地址是相同的,此時查看baidu.com的路由
可以看到路由先經過5.160,再轉發到5.2
此時由5.149機器發出的流量均會經過5.160的轉發至網關,因此通過arp欺騙可以獲取5.149上的發出的敏感信息,如登錄信息等
例如這裏在5.149上訪問圖片,在5.160上就可以實時顯示該圖片的信息
###四:檢查並處理
- Windows 下 arp -a ,Linux下arp -n 查看是否存在一個mac地址匹配多個IP的情況,若有,則被ARP欺騙攻擊
- Windows 下 tracert baidu.com ,Linux 下traceroute baidu.com ,查看路由的第一個地址是否爲網關地址,若不是,第一個地址就是攻擊機
- 在主機綁定網關mac與ip地址爲靜態。 arp -s網關ip 網關mac
注意:使用arp -s的時候可能存在arp 項添加失敗:拒絕訪問
解決:
3.1 netsh i i show in 查看本地連接的idx
3.2 netsh -c “i i” add neighbors 11 “網關ip” “網關mac”
4.在網關維護主機mac和ip地址的綁定表