地址解析协议(ARP)是一种无状态协议,用于将IP地址解析为机器MAC地址.需要在网络上通信的所有网络设备在系统中广播ARP查询以查找其他计算机的MAC地址. ARP中毒也称为 ARP欺骗.
以下是ARP的工作原理 :
当一台机器需要与另一台机器通信时,它会查找其ARP表.
如果MAC地址不是如表所示, ARP_request 通过网络广播.
网络上的所有计算机都会将此IP地址与MAC进行比较地址.
如果网络中的某台机器识别出该地址,那么它将使用其IP响应 ARP_request . MAC地址.
请求计算机将地址对存储在其ARP表中并进行通信.
什么是ARP欺骗?
可伪造ARP数据包以将数据发送到攻击者的计算机.
ARP欺骗构造大量伪造的ARP请求并回复数据包以使交换机过载.
交换机设置为转发模式, ARP表充满欺骗性ARP响应后,攻击者可以嗅探所有网络数据包.
攻击者使用伪造条目淹没目标计算机ARP缓存,这也称为中毒. ARP中毒使用Man-in-the-Middle访问来毒害网络.
什么是MITM?
The Man-in-the-Middle攻击(缩写为MITM,MitM,MIM,MiM,MITMA)意味着主动攻击,即攻击者通过在受害者之间建立连接并在他们之间发送消息来冒充用户.在这种情况下,受害者认为他们正在相互沟通,但实际上,恶意行为者控制着沟通.
存在第三人控制和监控双方之间的通信流量.某些协议(如 SSL )可用于防止此类攻击.
ARP中毒 - 练习
在本练习中,我们使用 BetterCAP 在LAN环境中使用VMware工作站执行ARP中毒,我们在其中安装了 Kali Linux和 Ettercap 工具来嗅探本地流量在局域网中.
在本练习中,您需要以下工具 :
VMware工作站
Kali Linux或Linux操作系统
Ettercap工具
LAN连接
注意 : 这种攻击可能在有线和无线网络中发生.您可以在本地LAN中执行此攻击.
步骤1 : 安装VMware工作站并安装Kali Linux操作系统.
步骤2 : 使用用户名pass"root,toor"登录Kali Linux.
第3步 : 确保已连接到本地LAN并通过在终端中键入命令 ifconfig 来检查IP地址.
第4步 : 打开终端并输入"Ettercap -G"以启动Ettercap的图形版本.
第5步 : 现在单击菜单栏中的"嗅探"选项卡,选择"统一嗅探",然后单击"确定"以选择界面.我们将使用"eth0",这意味着以太网连接.
第6步 : 现在单击菜单栏中的"主机"选项卡,然后单击"扫描主机".它将开始扫描活动主机的整个网络.
步骤7 : 接下来,单击"主机"选项卡并选择"主机列表"以查看网络中可用的主机数.此列表还包括默认网关地址.选择目标时我们必须小心.
第8步 : 现在我们必须选择目标.在MITM中,我们的目标是主机,路由将是转发流量的路由器地址.在MITM攻击中,攻击者拦截网络并嗅探数据包.因此,我们将受害者添加为"目标1",将路由器地址添加为"目标2".
在VMware环境中,默认网关将始终以"2"结尾,因为"1" "已分配给物理机.
步骤9 : 在这种情况下,我们的目标是"192.168.121.129",路由器是"192.168.121.2".因此,我们将目标1添加为受害者IP ,将目标2添加为路由器IP .
第10步 : 现在点击"MITM"并点击"ARP中毒".此后,选中"嗅探远程连接"选项并单击"确定".
步骤11 : 单击"开始"并选择"开始嗅探".这将启动网络中的ARP中毒,这意味着我们已经以"混杂模式"启用了我们的网卡,现在可以嗅探本地流量.
注意去;我们只允许使用Ettercap进行HTTP嗅探,因此不要指望使用此过程嗅探HTTPS数据包.
步骤12 : 现在是时候看结果了;如果我们的受害者登录某些网站.你可以在Ettercap的工具栏中看到结果.
这就是嗅探的方式.您必须了解通过启用ARP中毒来获取HTTP凭据是多么容易.
ARP中毒可能会在公司环境中造成巨大损失.这是指定道德黑客保护网络的地方.
与ARP中毒一样,还有其他攻击,如MAC泛滥,MAC欺骗,DNS中毒,ICMP中毒等.可能会对网络造成重大损失.
在下一章中,我们将讨论另一种称为 DNS中毒的攻击.