admin 作者黄景龙
大家好,我是网络工程师亚伦。
接下来,我将把ARP欺骗过程分为三个阶段进行介绍。
1、信息收集阶段。
因为这被称为ARP欺骗,所以首先需要知道局域网内最终用户的IP信息、MAC信息。
就跟电信诈骗一个样,想要诈骗成功,不得先知道你个人信息,了解你个人信息之后,冒充你的谁,不然怎么欺骗? 这样你才会信任嘛~接下来,攻击者就开始监听局域网内的ARP请求报文,只要收到该报文,攻击者就可以利用IP、MAC地址信息进行欺骗。
如图,只要局域网内有ARP request报文,主机就能学习到报文里的源IP、源MAC地址信息,然后更新ARP表项。最初开始,主机A没有主机B的mac地址,所以广播发起了ARP request报文,主机B、主机C均能收到这个广播报文,于是都更新一下各自的ARP表项。
主机B收到来自主机A发的ARP request报文,发现报文里面在询问“谁是192.168.1.2?麻烦这位同学告诉我一下你的mac地址是多少?我要给你发红包啦~”
主机B发现,我草!是找我的,有人要给我发红包,当然里面就回应了,发了个“ARP 响应报文”
主机A收到主机B回复的“ARP 响应”报文,就立马更新了一下ARP 表项,终于知道这家伙(主机B)的MAC地址了,我得赶紧保存起来!下次就可以直接发红包了。
假设主机A在发起ARP请求报文的时候,主机B也发起了ARP请求报文,又或者等待一段时间,主机B里的ARP 表项超时了,没有主机A的mac信息,主机B也会发起ARP请求报文。
由于主机B也发起了ARP request报文, 主机A和主机C(攻击者)都能收到,于是里面更新了自己的ARP表项。
主机C(攻击者),到此就收集齐了主机A、主机B的IP、MAC信息了。
下一步,就可以进去欺骗了。
2、伪造ARP响应报文
主机C(攻击者)收集了信息后,就要开始伪造、欺骗了。
主机C在电脑上使用软件(如科来),伪造一个主机B 的ARP 响应报文。
伪造信息:
源IP:192.168.1.2
源mac:3333.3333.3333
我们都知道,但凡主机收到ARP 响应报文,就会更新自己的ARP表项。
主机A收到 这个响应报文,以为主机B 最近有钱了,膨胀了,换了台新电脑,所以网卡的mac地址也就变化了,看到mac地址变为3333.3333.333,所以主机A 就更新一下ARP表项。
3、被欺骗阶段
上次主机A 给 主机B 发了个红包,眼看主机B 红包也收了,于是,主机A就想,要不给主机B 夸几句吧~ 增进感情,早日实现脱单自由。
所以,主机A就给 主机B 发了个消息:你长得真好看。
主机A发送报文时,会查一下arp表项,然后查询到192.168.1.2对应的MAC地址是3333.3333.3333, 于是就用这个地址封装二层帧,发送出去了。
这下子好了,这个报文就送到 主机C(攻击者)手里了, 攻击者收到报文后,可以选择转发或篡改,或者更绝点直接丢弃。
主机C 由于单身20年,羡慕嫉妒恨,就像搞破坏,所以篡改了报文,直接将“你长得真好看”改成 “你长得真丑”,然后发送出去,发给主机B。
主机B收到后,就气炸了! 结局你们懂的~