admin 今天向大家介绍一种非常典型的局域网攻击手段ARP攻击
ARP攻击也称为ARP欺骗或ARP毒化,常用的ARP欺骗方法有两种。一种是在远程计算机ARP缓存表中将网关MAC地址修改为虚假或不存在的地址,以防止被欺骗的计算机访问互联网。另一种方法是,将远程计算机上ARP缓存的网关地址修改为攻击者的MAC地址,将网关设备上ARP缓存中远程计算机的MAC地址修改为攻击者的MAC地址,以便两种流量都通过攻击者系统。
后一种方法常用于中间人攻击之中。一旦中间人建立攻击成功,劫持了目标的上网流量,那么后果也是十分严重,由于你全部的流量都要走向攻击者。所以轻则监控目标的上网行为,就如同二十四小时站在你身后看你上网;或者劫持目标的cookie从而用目标的账号登录诸如微博,百度,优酷等网站,浏览其隐私数据,进行发贴删贴等操作;更有可能进行钓鱼攻击,使目标下载恶意程序或者执行恶意脚本,从而威胁我们的计算机安全。当然我们在生活中也要注意不要在公共WIFI下浏览有重要隐私的网站,万一碰上不怀好意的人就在局域网中,那么我们的信息安全可能会受到威胁。
1、具体实验过程
具体的中间人攻击实验,大体上可以分为以下几个步骤:
1.1. 对目标主机进行ARP欺骗,声称自己是网关。
1.2. 转发目标的NAT数据到网关,维持目标的外出数据。
1.3. 对网关进行ARP欺骗,声称自己是目标主机。
1.4. 转发网关的NAT数据到目标主机,维持目标的接收数据。
1.5. 监听劫持或者修改目标的进入和外出数据,从而实现攻击
2、前期环境准备
靶机与攻击端处于同一WIFI环境下
攻击端信息
Kali Linux
ip地址 192.168.11.3
靶机信息
Windows 7
ip地址 192.168.11.128
3、实验过程
首先使用nmap 扫描同一局域网下活跃主机情况,可以看到此时靶机和攻击端处于同一局域网环境下
扫描结果
下面进行ARP欺骗,没有进行ARP欺骗前靶机是能够上网的
靶机PING通百度
靶机访问百度
攻击端开启ARPspoof 进行ARP欺骗
开启ARP欺骗
此时靶机已经不能连接到互联网
靶机断网
接下来对靶机进行中间人攻击,使用嗅探工具 Ettercap 对目标主机进行ARP欺骗,并将数据流量转发到本机
首先打开Ettercap
打开Ettercap
打开Ettercap的图形界面之后点击sniff 选择unified sniffing 然后根据自己的要求选择要抓包的网卡
使用Ettercap中的扫描主机,选择host list 列出扫描出的主机
扫描主机
此时会看到靶机和攻击端都在其中,选择靶机 192.168.11.128的IP地址,点击ADD To target1 添加到目标1,然后选择目标网关的IP地址192.168.11.2,点击add to target2 添加到目标2 成功添加被攻击目标
添加攻击目标
选择中间人攻击方式,欺骗靶机192.168.11.128 ,攻击端192.168.11.3才是网关,使得192.168.11.128 的主机把所有的数据流量都发给攻击机,然后抓取HTTP包 截获密码 设定攻击方式后,我们选择“Mitm-arp poisoing”–“sniff remote connections” -确定
开始中间人攻击
现在可以看到靶机的ARP地址表 已经被篡改
MAC地址已经被篡改
下面我们开启攻击端的流量转发 并且验证 查看是否为1,1就是已经转发
目标主机的ARP缓存表被篡改之后,其经过网关外出的数据流将会发送到攻击者的主机,此时由于目的地址出错,目标主机对外的请求将无法到达,那就无法访问互联网了。为了维持目标正常上网,需要我们在收到目标来的数据时将其进行转发到真正的网关。
首先开启端口转发,允许本机像路由器一样转发数据:
开启流量转发
使用Ettercap-NG + driftnet截获目标主机的图片数据流
靶机访问网络页面
攻击端截取到浏览的图片
通过这个实验想告诉大家,大家不能忽视身边的潜在威胁,要时刻注重自己的信息安全,避免信息泄露,提高防范意识,懂得在开放的网络环境中保护自己。
随着国家法律法规的完善,信息安全技术水平的提高,国内信息安全厂商的崛起,以及公司、政府、个人防范意识的提高,整个信息安全的大环境也在一步步的改善。我相信随着时间的推移,越来越安全的网络环境也在等着我们。我们的个人信息也就会越来越安全。
有很多小伙伴都喜欢这方面的内容,想要进行更深入的学习,小编以后会常更新一些关于信息安全、网络技术、电脑知识、科技这方面的内容,喜欢的小伙伴可以关注我,我也会持续不断的为大家带来一些资源和学习资料。
最后