3-wireshark网络安全分析—

1. 中间人攻击

2. ARP欺骗

3. ARP欺骗过程分析

4. Wireshark专家系统分析

5. 如何防御ARP欺骗

ARP协议可参考：https://blog.csdn.net/qq_35733751/article/details/80012359

1. 中间人攻击

中间人攻击（Man-in-the-MiddleAttack）简称为MITM攻击，是一种比较常见的网络攻击方式，想要实施中间人攻击至少需要三个角色，其过程如下图所示：

所谓中间人攻击就是Client1和Client2在进行正常的网络通信时，Hacker实施中间人攻击监听Client1和Client2的通信，在这个过程中Hacker作为中间人会处理转发它们的数据信息，也就是说Client1和Client2之间依然可以正常通信，并且它们也不会发现通信过程中多了一个人。Client1以为自己是和Client2之间通信，然而实际上多了一个Hacker正在默默的监听Client1和Client2之间通信。

2. ARP欺骗

ARP欺骗就是一种典型的中间人攻击方式，它利用了ARP协议的缺点：没有任何认证机制。当一台主机收到一个发送方ip地址为192.168.111.139的ARP请求包时，该主机并不会对这个数据包做任何判断真伪校验，无论这个数据包是否真的来自192.168.111.139，它都会将其添加到ARP缓存表中，Hacker正是利用了这一点来冒充网关等主机。

以ping命令为例，139和140两台主机进行通信时：

139和140进行通信时会先在ARP缓存表查找140对应的ARP表项（即192.168.111.140对应的mac地址），如果没有找到则会发送ARP请求。 ip为192.168.111.139的主机首先会以广播方式发送一个ARP请求包获取192.168.111.140主机的mac地址，其内容为who has 192.168.111.140? Tell 192.168.111.139。

当ip为192.168.111.140的主机收到这个ARP请求包并不会做任何的真伪校验，而是直接回复一个ARP响应包把自己的mac地址告诉对方。

无论这个ARP请求包是否真的来自ip为192.168.111.139的主机，140都会把192.168.111.139对应的mac地址表项添加到自己的ARP缓存表中（ARP欺骗正是利用了这一缺点进行的网络攻击）：

ARP缓存表中192.168.111.2是网关的ip地址，00-50-56-ea-03-a7是网关的mac地址。

3. ARP欺骗过程分析

在VMware中分别创建两台主机，实验环境：

1. Kali linux主机充当hacker进行安全测试，ip地址为192.168.111.139

2. Windows7是进行安全测试的目标主机，ip地址为192.168.111.140

搭建完环境后，在kali中进行安全测试并开启路由转发功能：

通过arpspoof工具进行ARP欺骗安全测试：

-i选项用于指定网卡，-t选项用于指定欺骗的目标主机ip和网关ip，当执行以上命令后arpspoof工具就会不断地发送伪造的ARP包对目标主机进行ARP欺骗。

在Kali linux主机上进行wireshark抓包，分析ARP欺骗攻击的过程：

在wireshark抓包中，ARP响应包中Sender MAC address字段里封装的MAC地址不是网关192.168.111.2的mac地址，而是kali linux主机的MAC地址，也就是说这个ARP响应包实际上是伪造的。

再查看被攻击的目标主机ARP缓存表：

在前面的实验环境中我们知道192.168.111.2网关对应的mac地址是00-50-56-ea-03-a7，当kali linux主机进行ARP欺骗后，ARP缓存表中网关对应的mac地址变成了00-0c-29-03-25-67，但这个mac地址实际上是kali linux主机的mac地址，目标主机收到这个ARP响应包并没有做任何的判断，而是直接接收数据包，包括在wireshark抓包工具中也间接证明了ARP协议的一重大缺点：ARP协议缺少对数据包的判断校验安全机制，hacker也就可能利用这个漏洞来冒充网关。

4. Wireshark专家系统分析

通常在一个网络中如果出现了大量的ARP数据包是不太正常的，可以通过wireshark抓包工具的专家系统功能分析当前网络的问题所在。

在wireshark抓包工具的菜单栏中选择：分析-->专家信息，如下所示：

在专家信息功能中可以看到有一段警告级别为Warning级别的ARP数据包，wireshark给出的警告提示Duplicate IP address configure，说明检测到了重复的IP地址配置，我们重点关注25和26两个数据包。

以Frame 25数据包为例：

Wireshark检测到了ip地址192.168.111.2 有重复的配置，在这个数据包中192.168.111.2使用的mac地址是00-50-56-ea-03-a7，在之前192.168.111.2使用的mac地址是00-0c-29-03-25-67，在这两个mac地址其中有一个肯定是伪造的mac地址，一般来说如果有大量的ARP响应包出现同一个mac地址，那么这个mac地址极有可能是伪造的。

5. 如何防御ARP欺骗

当一个网络中出现大量的ARP数据包会有以下几个原因：

当前网络存在ARP主机扫描
当前网络存在ARP病毒
当前网络存在ARP欺骗攻击

防御ARP欺骗的措施：

arp -s命令静态绑定ARP表，但不适用大型网络
使用交换机DHCP-Snooping技术或者端口安全技术
划分VLAN