精品国产人成在线_亚洲高清无码在线观看_国产在线视频国产永久2021_国产AV综合第一页一个的一区免费影院黑人_最近中文字幕MV高清在线视频

0
  • 聊天消息
  • 系統消息
  • 評論與回復
登錄后你可以
  • 下載海量資料
  • 學習在線課程
  • 觀看技術視頻
  • 寫文章/發帖/加入社區
會員中心
創作中心

完善資料讓更多小伙伴認識你,還能領取20積分哦,立即完善>

3天內不再提示

簡析ARP欺騙

jf_vLt34KHi ? 來源:Tide安全團隊 ? 2023-05-20 10:36 ? 次閱讀

數據轉發過程

在聊ARP之前,我們需要先了解一下我們在發送一個數據時在網絡中發生了什么 ,它需要什么東西,又是怎么獲得的?對方又是怎么接收到的?當前現網中我們都是使用TCP/IP協議棧進行網絡通信的,假設當前你正在通過火狐瀏覽器訪問tide官網(www.tidesec.com),當你輸入完網址,敲下回車鍵后,計算機內部會發生如下事情:首先當前計算機只知道域名為www.tidesec.com,此時要先向DNS服務器發送數據去請求www.tidesec.com的IP地址,DNS服務器收到數據包后發現計算機請求獲得www.tidesec.com的IP地址,將www.tidesec.com所綁定的IP地址打包發送給計算機。

37327466-f644-11ed-90ce-dac502259ad0.png

火狐瀏覽器調用HTTP協議,完成應用層數據封裝,HTTP依靠傳輸層的TCP進行數據的可靠性傳輸,將封裝好的數據傳輸到傳輸層,傳輸層將應用層傳遞下來的Data添加上相應的TCP頭部信息(源端口、目的端口)后。傳遞給網絡層,網絡層收到傳輸層傳遞愛的數據段后添加上相應的IP頭部信息(源IP、目的IP)后將數據包傳遞給數據鏈路層,數據線路層收到后,添加上相應的Ethernet頭部信息(源MAC地址、目的MAC地址)和FCS幀尾后將數據幀傳遞給物理層,根據物理介質的不同,物理層負責將數字信號轉換成電信號、光信號、電磁波信號等,轉換完成的信號在網絡中開始傳遞。

374e620c-f644-11ed-90ce-dac502259ad0.png

如剛剛上面數據發送方數據封裝的流程,我們看到了在封裝時,傳輸層需要源目端口,這里源端口隨機分配,目的端口由服務器的應用指定,網絡層需要源目IP,這里剛剛我們向DNS服務器請求www.tidesec.com時也獲得了tide官網的IP地址,也能實現,那么現在數據鏈路層需要源目MAC地址,源MAC地址好說,自己的mac地址,那目的mac地址呢?該怎么獲取呢?這時就需要用到我們的ARP協議了。

地址解析協議(ARP)

ARP(Address Resolution Protocol)是一種網絡層協議,根據已知的目的IP地址解析獲得其對應的MAC地址。在局域網中,每臺設備都有唯一的MAC地址,就像我們的身份證號一樣在全球獨一無二的,而IP地址是可以重復分配的。因此,當一個設備需要發送數據包到另一個設備時,它需要知道另一個設備的MAC地址。

37688c4a-f644-11ed-90ce-dac502259ad0.png

那么ARP是怎么工作的呢?一般設備里都會有一個ARP緩存表,用來存放IP地址和MAC地址的關聯信息,在發送數據前,設備會先查找ARP緩存表,如果緩存表中存在對方設備的MAC地址,則直接采用該MAC地址來封裝幀,然后將幀發送出去。如果緩存表中不存在相應信息,則通過ARP來獲取。

3789b5b4-f644-11ed-90ce-dac502259ad0.png

當ARP緩存表為空時,主機1通過發送ARP request報文來獲取主機2的MAC地址,由于不知道目的地址,因此ARP Request報文內的目的MAC為廣播地址FF-FF-FF-FF-FF-FF,因為ARP Request是廣播數據幀,因此交換機收到后,會對該幀執行泛洪操作,也就是說該網絡中所有主機包括網關都會接收到此ARP Request報文。

37a7b3b6-f644-11ed-90ce-dac502259ad0.png

所有的主機接收到該ARP Request報文后,都會檢查它的目的IP地址字段與自身的IP地址是否匹配。主機2發現IP地址匹配,則會將ARP報文中的發送端MAC地址和發送端IP地址信息記錄到自己的ARP緩存表中。

37c8b9bc-f644-11ed-90ce-dac502259ad0.png

這時主機2通過發送ARP Reply報文來響應主機1的請求,此時主機2已知主機1的MAC地址,因此ARP Reply是單播數據幀。

37e2eca6-f644-11ed-90ce-dac502259ad0.png

主機1收到ARP Reply以后,會檢查ARP報文中目的端IP地址字段與自身的IP地址是否匹配。如果匹配,ARP報文中的發送端MAC地址和發送端IP地址會被記錄到主機1的ARP緩存表中。

3801a740-f644-11ed-90ce-dac502259ad0.png

至此,ARP工作結束,獲得目的IP對應的MAC地址后,即可封裝完整的數據包進行數據包的發送(上述工作過程為局域網內的工作過程,如訪問其他網段或外網中的IP地址時,所獲得的MAC地址為網關的MAC地址,網關收到此ARP Request后會發送ARP Reply)

ARP欺騙

剛剛我們也看到了,ARP協議是通過廣播來獲取目標設備的MAC地址的,當一個設備需要發送數據到另一個設備時,他會發送一個ARP請求,詢問局域網內的所有設備,是否具有指定IP地址對應的MAC地址,目標設備收到請求后會回復一個ARP應答,告訴請求主機它的MAC地址。ARP欺騙利用了這種工作原理,攻擊者會發送偽造的ARP數據包,將自己偽裝成網關或其他設備,目標設備收到偽造的ARP數據包后,會將攻擊者的MAC地址和其目標IP地址相對應寫入ARP緩存表中,并將后續數據包發送給攻擊者。攻擊者就可以截獲目標設備發送的數據包,甚至可以修改、篡改數據包中的內容。同樣的ARP欺騙也分為單向欺騙和雙向欺騙。

單向欺騙

如下圖所示,攻擊者通過偽造ARP Request來將自己的MAC地址偽裝成網關IP相對應的mac地址廣播出去,主機A收到該ARP Request后會將發現該ARP Request目的IP地址為自己,將該ARP Request中的目的IP地址與MAC地址寫入到ARP緩存表后,然后發送ARP Reply,將本該傳輸給網關的數據錯誤的傳輸給攻擊機,使主機A得不到網關的響應數據,從而導致斷網。

381a0272-f644-11ed-90ce-dac502259ad0.png

以上就是ARP單向欺騙的原理,那我們怎么來實現呢?往下看 首先我們先來查看一下主機A的mac地址緩存表,當前192.168.45.2就是當前系統的網關地址,所對應的也是真實的MAC地址

382975a4-f644-11ed-90ce-dac502259ad0.png

那么現在主機A也是可以正常上網的。

38350c0c-f644-11ed-90ce-dac502259ad0.png

根據我們上面的思路來看,我們如果想要讓主機A找不到網關無法上網,我們只需要構造一個IP地址為192.168.45.2的虛假mac地址的ARP Reply數據包就可以了,這里我們使用科萊網絡分析系統這個工具就可以實現這個功能。首先我們來先對當前網段的MAC地址進行一個掃描,獲得主機A的MAC地址。

38574326-f644-11ed-90ce-dac502259ad0.png38658f80-f644-11ed-90ce-dac502259ad0.png

這里獲得了主機A的MAC地址后,就可以點擊上面的數據包生成器。

387e25cc-f644-11ed-90ce-dac502259ad0.png

添加ARP數據包

38a52ab4-f644-11ed-90ce-dac502259ad0.png

然后在目的MAC地址和目的IP中輸入我們的目標主機的IP和MAC地址,源MAC地址任意輸即可,源IP輸入網關的IP地址。

38bc0ba8-f644-11ed-90ce-dac502259ad0.png

然后點擊發送,選擇網卡,這里選擇循環發送,次數為0,讓它一直發送偽造的ARP數據包后點擊開始。

38e07fce-f644-11ed-90ce-dac502259ad0.png

這時我們抓包看一下當前的網絡狀況,可以看到,源mac為00-01-02-03-04-05,尋找目的IP地址為192.168.45.131的ARP Request已經發出。

38fa25dc-f644-11ed-90ce-dac502259ad0.png

這時我們再來看主機A的ARP地址表中是否有了變化

3915e1c8-f644-11ed-90ce-dac502259ad0.pngimage.png

可以看到主機A中對應192.168.45.2的MAC地址成功被我們修改為了00-01-02-03-04-05,那這時我們再訪問一下百度來看看。

392513e6-f644-11ed-90ce-dac502259ad0.png

可以看到主機A目前已經無法正常返回百度。

雙向欺騙

如下圖所示,攻擊機一直發送偽造的ARP Reply,欺騙網關自己是主機A,欺騙主機A自己是網關,同時開啟路由轉發功能,就可以讓主機A在正常上網的情況下截獲網絡數據包,所有數據都會經過攻擊機然后再轉發給主機A。

393e4f32-f644-11ed-90ce-dac502259ad0.png

如上圖所示,進行ARP雙向欺騙后,主機A所有的通信都需要經過攻擊機,攻擊者再對目標和網關之間的數據進行轉發,則可作為一個"中間人",實現監聽目標卻又不影響目標正常上網的目的。可通過kali中自帶的arpspoof工具進行攻擊,首先在kali上開啟數據轉發

#終止
echo0>/proc/sys/net/ipv4/ip_forward
#允許
echo1>/proc/sys/net/ipv4/ip_forward
395f9e62-f644-11ed-90ce-dac502259ad0.png

首先來看我們攻擊機的mac地址為0029AE:FB

3973ef84-f644-11ed-90ce-dac502259ad0.png

然后使用arpspoof進行雙向毒化攻擊

arpspoof-ieth0-t192.168.45.143-r192.168.45.2
39ad60a2-f644-11ed-90ce-dac502259ad0.png

開啟后我們再來看當前網絡情況

39c7548a-f644-11ed-90ce-dac502259ad0.png

可以看到當前網絡中同時發出了兩個ARP Reply,源IP分別為網關和主機A,源mac為攻擊機的mac地址,這里我們再來看下主機A的MAC地址緩存表

39dafa12-f644-11ed-90ce-dac502259ad0.png

可以看到當前主機A的MAC地址緩存表中,192.168.45.2的mac地址與我們的攻擊機一致,這里我們訪問一下TideFinger 潮汐指紋識別網站,也是可以正常訪問的。

39e56150-f644-11ed-90ce-dac502259ad0.png

然后再看我們攻擊機有沒有抓到主機A訪問http://finger.tidesec.net/的流量

39f78f56-f644-11ed-90ce-dac502259ad0.png

以上就是ARP雙向欺騙劫持流量的內容,那么,ARP雙向欺騙除了能做流量劫持外,還可以做DNS劫持,假如主機A想要訪問www.baidu.com,我們可以通過毒化DNS來達到讓主機A跳轉到我們的釣魚站點來。這里需要用到我們在kali中自帶的ettercap,在使用前先修改一下它DNS的配置文件。

vim/etc/ettercap/etter.dns
3a090ae2-f644-11ed-90ce-dac502259ad0.png

然后打開ettercap,點擊開始按鈕

ettercap-G
3a156e22-f644-11ed-90ce-dac502259ad0.png

掃描當前網絡

3a27e412-f644-11ed-90ce-dac502259ad0.png

將目標主機和網關分別添加到Target1和Target2中

3a4ae336-f644-11ed-90ce-dac502259ad0.png

添加完畢之后,打開ARP poisoning,選擇Sniff remote connections,點擊OK

3a5893be-f644-11ed-90ce-dac502259ad0.png3a876f40-f644-11ed-90ce-dac502259ad0.png

然后選擇Plugins-Manager Plugins,勾選DNS_Spoof。

3a97c4ee-f644-11ed-90ce-dac502259ad0.png3ab1b23c-f644-11ed-90ce-dac502259ad0.png

然后點擊左上角的start按鈕即可開始攻擊。

3adc4498-f644-11ed-90ce-dac502259ad0.png

這時再去訪問www.baidu.com時,即可跳轉的我們剛剛所劫持的網站中,如下圖所示。

3af1a78e-f644-11ed-90ce-dac502259ad0.png





審核編輯:劉清

聲明:本文內容及配圖由入駐作者撰寫或者入駐合作網站授權轉載。文章觀點僅代表作者本人,不代表電子發燒友網立場。文章及其配圖僅供工程師學習之用,如有內容侵權或者其他違規問題,請聯系本站處理。 舉報投訴
  • DNS服務器
    +關注

    關注

    0

    文章

    21

    瀏覽量

    8420
  • 電磁波
    +關注

    關注

    21

    文章

    1426

    瀏覽量

    53565
  • FCS
    FCS
    +關注

    關注

    4

    文章

    32

    瀏覽量

    14406
  • TCP協議
    +關注

    關注

    1

    文章

    87

    瀏覽量

    12044

原文標題:簡析ARP欺騙

文章出處:【微信號:Tide安全團隊,微信公眾號:Tide安全團隊】歡迎添加關注!文章轉載請注明出處。

收藏 人收藏

    評論

    相關推薦

    淺談如何防治ARP病毒

    淺談如何防治ARP病毒近期, 現一種新的“ARP欺騙”木馬病毒在互聯網上迅速擴散.主要表現為用戶頻繁斷網、IE瀏覽器頻繁出錯以及一些常用軟件出現故障等問題。Arp病毒在局域網中感染較多
    發表于 10-10 15:24

    基于ARP緩存超時的中間人攻擊檢測方法

    探討ARP協議工作機理,通過對內部網絡通信危害較大的ARP欺騙技術的分析,提出一種交換網絡環境下基于ARP緩存超時機制的中間人攻擊行為檢測方法,研究Windows操作系統中
    發表于 04-18 09:41 ?17次下載

    ARP協議攻擊及其解決方案

    由于ARP協議的設計缺陷,使得ARP協議在使用的過程中存在著盜用IP地址和ARP欺騙等嚴重的安全問題。本文分析ARP攻擊的基本原理,并提出相
    發表于 06-11 10:17 ?16次下載

    基于ARP協議的攻擊及其防御方法分析

    ARP 協議欺騙是網絡欺騙的行為之一,它使得攻擊者可以重定向一個以太網上的IP 數據報以取得目標主機的信任。文章在分析ARP 協議工作原理、安全缺陷、攻擊原理和攻擊方式的基
    發表于 09-01 16:11 ?10次下載

    ARP欺騙原理及抵御方案設計

    ARP(地址解析協議的英文縮寫)欺騙是一種利用ARP 協議的漏洞對局域網內主機的通信實施攻擊的欺騙行為,本文對ARP 協議的工作原理和安全漏
    發表于 09-14 14:08 ?11次下載

    大型局域網ARP攻擊與防護

    本文針對目前大型局域網ARP 欺騙的嚴峻形勢,分析現有的防治方法,提出了一個優化的解決方案。
    發表于 12-18 17:37 ?15次下載

    交換機環境下ARP欺騙檢測的新方法

    本文集中討論了一個關于在交換機構建的環境下降低ARP 欺騙威脅的新方法。首先,文章簡要地介紹了ARP 協議,并指出了該協議的漏洞,在此基礎之上敘述了ARP
    發表于 01-09 15:41 ?13次下載

    電動汽車用鋰離子電池技術的國內外進展

    電動汽車用鋰離子電池技術的國內外進展
    發表于 11-10 13:53 ?765次閱讀

    PCB線路板電鍍銅工藝

    PCB線路板電鍍銅工藝   一.電鍍工藝的分類:   酸性光亮銅電鍍電鍍鎳/金電鍍錫   二.工藝流程:
    發表于 11-17 14:01 ?3946次閱讀

    基于ARP欺騙的網絡監聽技術研究

    基于ARP欺騙的網絡監聽技術研究  引言   當前局域網大部分屬于以太網,其主要連接方式主要是通過交換機進行連接。交換機在外型上類似于集線器,但在內
    發表于 01-20 11:13 ?1127次閱讀
    基于<b class='flag-5'>ARP</b><b class='flag-5'>欺騙</b>的網絡監聽技術研究

    EPON技術

    EPON技術 EPON是一個新技術,用于保證提供一個高品質與高帶寬利用率的應用。   EPON在日本、韓國、中國大陸、中國臺灣及其它以以太網絡為基礎的地區都
    發表于 01-22 10:43 ?822次閱讀

    鼠標HID例程(中)

    鼠標 HID 例程 緊接《鼠標 HID 例程(上)》一文,繼續向大家介紹鼠 標 HID 例程的未完的內容。
    發表于 07-26 15:18 ?0次下載

    基于ARP欺騙的中間人攻擊的檢測與防范_劉衍斌

    基于ARP欺騙的中間人攻擊的檢測與防范_劉衍斌
    發表于 03-19 11:33 ?0次下載

    5G AAU 功放控制和監測模塊

    5G AAU 功放控制和監測模塊
    發表于 10-28 12:00 ?2次下載
    5G AAU 功放控制和監測模塊<b class='flag-5'>簡</b><b class='flag-5'>析</b>

    AFE8092幀同步特性

    AFE8092幀同步特性
    的頭像 發表于 08-24 13:37 ?554次閱讀
    AFE8092幀同步特性<b class='flag-5'>簡</b><b class='flag-5'>析</b>