ARP(Address Resolution Protocol,地址解析协议),位于TCP/IP协议栈中的网络层,负责将某个IP地址转化成对应的MAC地址。
主机发送信息时将包含目标IP地址的ARP请求广播到网络上的所有主机,并接收返回消息,以此确定目标的物理地址;收到返回消息后将该IP地址和物理地址存入本机ARP缓存中并保留一定时间,下次请求时直接查询ARP缓存以节约资源。地址解析协议是建立在网络中各个主机互相信任的基础上的,网络上的主机可以自主发送ARP应答消息,其他主机收到应答报文时不会检测该报文的真实性就会将其记入本机ARP缓存;由此攻击者就可以向某一主机发送伪ARP应答报文,使其发送的信息无法到达预期的主机或到达错误的主机,这就构成了一个ARP欺骗。2. ARP攻击原理:ARP攻击就是通过伪造IP地址和MAC地址实现ARP欺骗,能够在网络中产生大量的ARP通信量使网络阻塞。攻击者只要持续不断的发出伪造的ARP响应包就能更改主机ARP缓存中的IP-MAC条目,造成网络中断或中间人攻击。
ARP攻击主要是存在于局域网网络中,无法对外网进行攻击。攻击者向电脑A发送一个伪造的ARP响应,告诉主机A:电脑B的IP地址192.168.0.2对应的MAC地址是00-12-00-13-c6-14,电脑A信以为真,将这个对应关系写入自己的ARP缓存表中(不用广播,直接查询缓存表),以后发送数据时,将本应该发往电脑B的数据发送给了攻击者。同样的,攻击者向电脑B也发送一个伪造的ARP响应,告诉电脑B:电脑A的IP地址192.168.0.1对应的MAC地址是00-12-00-13-c6-15,电脑B也会将数据发送给攻击者。至此攻击者就控制了电脑A和电脑B之间的流量,他可以选择被动地监测流量,获取密码和其他涉密信息,也可以伪造数据,改变电脑A和电脑B之间的通信内容。3. ARP攻击简单示例:在同一个局域网下,两台虚拟主机之间进行ARP攻击。
攻击者:kali。它的IP地址为192.168.73.136。被攻击者Windows XP ,IP地址为192.168.73.138。
1> 首先,在Windows XP上访问网页,查看是否可以顺利上网。
2> 查看两个虚拟机的IP地址,查看两个主机IP是否在同一个IP网段。
kali linux : ifconfig eth0;
Windows XP:ipconfig/all;
3> 连通性测试。刚开始时没有ping通,后来将Windows XP的防火墙关闭之后就可以Ping通了。
4> 查看Windows XP的网关IP,为192.168.73.2。然后再执行ARP -a 查看网关IP地址对应的MAC地址(正确的MAC地址)。
5> ARP 攻击
在kali linux 上输入 arpspoof -i eth0 -t 192.168.73.138 -r 192.168.73.2。
6> 查看攻击效果。可以看出,在Windows XP上输入arp -a时,两次的MAC地址不同,说明ARP攻击成功。此时Windows XP的主机再访问百度页面时,将不能访问成功。(因为arp缓存表中缓存的是错误的网关MAC地址)。
最后CTRL+C停止攻击之后,就可以继续访问了。
4. MAC地址绑定:
在Windows XP上对网关MAC地址进行静态绑定。这时候在用kali攻击时就会发现网关的MAC地址没有变化,还是正确的MAC地址。但是在这种情况下,访问网页依旧是不能成功的,需要的是双向的绑定。(之后会做补充)。