arp地址欺骗详解

简介：由于局域网的网络流通不是根据IP地址进行，而是按照MAC地址进行传输。所以，那个伪造出来的MAC地址在A上被改变成一个不存在的MAC地址，这样就会造成网络不通，导致A不能Ping通C，这就是一个简单的ARP欺骗。在局域网中，黑客经过收到ARP Request广播包，能够偷听到其它节点的 (IP, MAC) 地址, 黑客就伪装为A，告诉B (受害者) 一个假地址，使得B在发送给A 的数据包都被黑客截取，而A, B 浑然不知。ARP欺骗是黑客常用的攻击手段之一，ARP欺骗分为二种，一种是对路由器ARP表的欺骗；另一种是对内网PC的网关欺骗。

arp欺骗限制：必须是在同一局域网内才可以

arp欺骗原理：

网络上的解释大多都是千篇一律，我在这里说说我的解释

所谓arp欺骗就是利用了arp协议（地址解析协议的漏洞）由于在同一局域网内的主机通信依靠arp地址而不是ip，所以当两台主机通信时（A 和 B）主机A 向主机B 发送一个arp广播（内有主机B的IP地址），这是局域网内的所有主机都会收到这个arp包，然后与在自己的ip地址进行比较，如果符合就回复给主机 A 一个带有自己的arp地址的arp包，同时将主机 A 的arp地址记录下来。接着使用这个MAC地址发送数据（由网卡附加MAC地址）。因此，本地高速缓存的这个ARP表是本地网络流通的基础，而且这个缓存是动态的

（这里注意一点：主机的每次通信都需要从新发送arp广播包得到主机 B 的arp地址（动态性））

以上是正常通信过程

ARP缓存表

在每台装有tcp/ip协议的电脑里都有一个ARP缓存表，表里的ip地址与mac地址是一一对应的，以主机A（192.168.1.5）向主机B（192.168.1.1）发送数据为例。当发送数据时，主机A会在自己的ARP缓存表中寻找是否有目标IP地址。如果找到了，也就知道了目标的mac地址，直接把目标的mac地址写入帧里面发送就可以了；如果在ARP缓存表里面没有目标的IP地址，主机A就会在网络上发送一个广播,目标mac地址是“ff-ff-ff-ff-ff-ff”，这表示向同一网段的所有主机发出这样的询问：“192.168.1.1的mac地址是什么呀？”网络上的其他主机并不回应这一询问，只有主机B接受到这个帧时才向A作出回应：“192.168.1.1的mac地址是00-aa-0-62-c6-09。（如上表）”这样，主机A就知道了主机B的mac地址，就可以向主机B发送信息了。同时，它还更新了自己的ARP缓存表，下次再向B发送数据时，直接在ARP缓存表找就可以了。ARP缓存表采用老化的机制，在一段时间里表中的某一行没有使用，就会被删除，这样可以大大减少ARP缓存表的长度，加快查询的速度。

查看ARP缓存表

ARP缓存表示可以查看的，也可以添加和修改。在命令提示符下，输入“arp -a”就可以查看arp缓存表的内容了。

用“arp -d”可以删除arp缓存表里的所有内容。

用“arp -s“可以手动在arp表中制定ip地址与mac地址的对应关系。

ARP欺骗：

如果这时有一台主机C 当主机想要获取两台主机的通信过程时，主机C 可以主动向主机A 发送 arp应答包主机A接收到这个应答包后更新自己的arp缓存表当然还是B的ip但mac地址已经改变，这时主机C再正常连接主机B，这样就可以监听双方的通信过程并且不被发现，这是一种最典型的arp欺骗（当然主机B也可以是路由器的ip地址，稍微改动一下就可以造成对方上不了网嘿嘿嘿你懂得）

ARP欺骗是黑客常用的攻击手段之一，ARP欺骗分为二种，一种是对路由器ARP表的欺骗；另一种是对内网PC的网关欺骗。

截获网关数据

第一种ARP欺骗的原理是——截获网关数据。它通知路由器一系列错误的内网MAC地址，并按照一定的频率不断进行，使真实的地址信息无法通过更新保存在路由器中，结果路由器的所有数据只能发送给错误的MAC地址，造成正常PC无法收到信息。

第二种ARP欺骗的原理是——伪造网关。它的原理是建立假网关，让被它欺骗的PC向假网关发数据，而不是通过正常的路由器途径上网。在PC看来，就是上不了网了，“网络掉线了”。

一般来说，ARP欺骗攻击的后果非常严重，大多数情况下会造成大面积掉线。有些网管员对此不甚了解，出现故障时，认为PC没有问题，交换机没掉线的“本事”，电信也不承认宽带故障。而且如果第一种ARP欺骗发生时，只要重启路由器，网络就能全面恢复，那问题一定是在路由器了。为此，宽带路由器背了不少“黑锅”。

网络执法官

在网络执法官中，要想限制某台机器上网，只要点击"网卡"菜单中的"权限"，选择指定的网卡号或在用户列表中点击该网卡所在行，从右键菜单中选择"权限"，在弹出的对话框中即可限制该用户的权限。对于未登记网卡，可以这样限定其上线：只要设定好所有已知用户（登记）后，将网卡的默认权限改为禁止上线即可阻止所有未知的网卡上线。使用这两个功能就可限制用户上网。其原理是通过ARP欺骗发给被攻击的电脑一个假的网关IP地址对应的MAC，使其找不到网关真正的MAC地址，这样就可以禁止其上网。

骗过网络执法官

也就是修改MAC地址突破网络执法官的封锁，根据上面的分析，我们不难得出结论：只要修改MAC地址，就可以骗过网络执法官的扫描，从而达到突破封锁的目的。下面是修改网卡MAC地址的方法：

h3c助您全面防御arp欺骗攻击在"开始"菜单的"运行"中输入regedit，打开注册表编辑器，展开注册表到：HKEY_LOCAL_ MACHINE/System/CurrentControl Set/Control/Class/子键，在子键下的0000，0001，0002等分支中查找DriverDesc（如果你有一块以上的网卡，就有0001，0002......在这里保存了有关你的网卡的信息，其中的DriverDesc内容就是网卡的信息描述，比如我的网卡是Intel 21041 based Ethernet Controller），在这里假设你的网卡在0000子键。在0000子键下添加一个字符串，命名为"NetworkAddress"，键值为修改后的MAC地址，要求为连续的12个16进制数。然后在"0000"子键下的NDI/params中新建一项名为NetworkAddress的子键，在该子键下添加名为"default"的字符串，键值为修改后的MAC地址。在NetworkAddress的子键下继续建立名为"ParamDesc"的字符串，其作用为指定Network Address的描述，其值可为"MAC Address"。这样以后打开网络邻居的"属性"，双击相应的网卡就会发现有一个"高级"设置，其下存在MAC Address的选项，它就是你在注册表中加入的新项"NetworkAddress"，以后只要在此修改MAC地址就可以了。你的网卡地址已改。关闭注册表，重新启动，你的网卡地址已改。打开网络邻居的属性，双击相应网卡项会发现有一个MAC Address的高级设置项，用于直接修改MAC地址。

MAC地址也叫物理地址、硬件地址或链路地址，由网络设备制造商生产时写在硬件内部。这个地址与网络无关，即无论将带有这个地址的硬件（如网卡、集线器、路由器等）接入到网络的何处，它都有相同的MAC地址，MAC地址一般不可改变，不能由用户自己设定。MAC地址通常表示为12个16进制数，每2个16进制数之间用冒号隔开，如：08:00:20:0A:8C:6D就是一个MAC地址，其中前6位16进制数，08:00:20代表网络硬件制造商的编号，它由IEEE分配，而后3位16进制数0A:8C:6D代表该制造商所制造的某个网络产品（如网卡）的系列号。每个网络制造商必须确保它所制造的每个以太网设备都具有相同的前三字节以及不同的后三个字节。这样就可保证世界上每个以太网设备都具有唯一的MAC地址。

另外，网络执法官的原理是通过ARP欺骗发给某台电脑有关假的网关IP地址所对应的MAC地址，使其找不到网关真正的MAC地址。因此，只要我们修改IP到MAC的映射就可使网络执法官的ARP欺骗失效，就隔开突破它的限制。你可以事先Ping一下网关，然后再用ARP -a命令得到网关的MAC地址，最后用ARP -s IP 网卡MAC地址命令把网关的IP地址和它的MAC地址映射起来就可以了。

捣乱元凶

解除了网络执法官的封锁后，我们可以利用Arpkiller的"Sniffer杀手"扫描整个局域网IP段，然后查找处在"混杂"模式下的计算机，就可以发现对方了。具体方法是：运行Arpkiller，然后点击"Sniffer监测工具"，在出现的"Sniffer杀手"窗口中输入检测的起始和终止IP，单击"开始检测"就可以了。

检测完成后，如果相应的IP是绿帽子图标，说明这个IP处于正常模式，如果是红帽子则说明该网卡处于混杂模式。它就是我们的目标，就是这个家伙在用网络执法官在捣乱。

arp欺骗的两种情况

ARP欺骗存在两种情况：一种是欺骗主机作为“中间人”，被欺骗主机的数据都经过它中转一次，这样欺骗主机可以窃取到被它欺骗的主机之间的通讯数据；另一种让被欺骗主机直接断网。

第一种：窃取数据（嗅探）

通讯模式：

应答 -> 应答 -> 应答 -> 应答 -> 应答 -> 请求 -> 应答 -> 应答 ->请求->应答...

描述：

这种情况就属于我们上面所说的典型的ARP欺骗，欺骗主机向被欺骗主机发送大量伪造的ARP应答包进行欺骗，当通讯双方被欺骗成功后，自己作为了一个“中间人“的身份。此时被欺骗的主机双方还能正常通讯，只不过在通讯过程中被欺骗者“窃听”了。

出现原因（可能）：

木马病毒

嗅探

人为欺骗

第二种：导致断网

通讯模式：

应答 -> 应答 -> 应答 -> 应答 -> 应答 -> 应答 -> 请求

描述：

这类情况就是在ARP欺骗过程中，欺骗者只欺骗了其中一方，如B欺骗了A，但是同时B没有对C进行欺骗，这样A实质上是在和B通讯，所以A就不能和C通讯了，另外一种情况还可能就是欺骗者伪造一个不存在地址进行欺骗。

对于伪造地址进行的欺骗，在排查上比较有难度，这里最好是借用TAP设备（这个东东好像有点贵勒），分别捕获单向数据流进行分析！

kali Linux实现arp欺骗的工具

1、arpspoof

用法：

arpspoof [-i interface] [-c own|host|both] [-t target] [-r] host

选项：

-i interface 指定要使用的接口。

-t target 指定一台特定主机为ARP中毒（如果未指定，则为LAN上的所有主机）。

host 指定您希望拦截数据包的主机（通常是本地网关）。

常用方法：arpspoof -i eth0 -t 192.168.x.x 192.168.1.1(网关) 这样会使目标主机断网

arpspoof实战（同一局域网断网实战）

输入命令后观察目标机器使用ping 命令 ping 一下www.baidu.com

发现已经上不了网了

实战结束

以上的方法是使路由器和指定目标机器之间断网

arpspoof还有一个进行流量传输的功能即不截断目标主机可以正常上网但是网络流量会经过我的主机进行转发

这样就可以监控传输的流量

使用方法：

先开启kali liunx的路由转发功能

echo 1 > /proc/sys/net/ipv4/ip_forward

注意：这个路由转发只是临时生效如果开机重启后还需要从新打开

然后执行arpspoof命令 arpspoof -i eth0 -t 192.168.80.x(目标主机ip) 目标主机的路由ip地址

这时目标机器还可以正常上网但流量已经被我们监控

利用流量转发实战：arpspoof和driftnet 进行图片抓取

先来介绍一下driftnet命令

driftnet是一款简单而使用的图片捕获工具，可以很方便的在网络数据包中抓取图片。该工具可以实时和离线捕获指定数据包中是图片，当然在kali里是有的。
具体命令参数：

语法： driftnet [options] [filter code]

主要参数：

-b 捕获到新的图片时发出嘟嘟声

-i interface 选择监听接口

-f file 读取一个指定pcap数据包中的图片

-p 不让所监听的接口使用混杂模式

-a 后台模式：将捕获的图片保存到目录中（不会显示在屏幕上）

-m number 指定保存图片数的数目

-d directory 指定保存图片的路径

-x prefix 指定保存图片的前缀名

使用举例：

1.实时监听： driftnet -i wlan0

2.读取一个指定pcap数据包中的图片： driftnet -f /home/linger/backup/ap.pcapng -a -d /root/drifnet/

使用以上两个命令搭配使用

1、先打开三个窗口分别输入命令

然后运行观察目标主机

先在目标主机上ping一下www.baidu.com 发现可以ping通所以可以正常上网

然后随便打开几个网页看看会不会捕捉到图片

可以发现在kali liunx上就会捕捉到（但是有的时候不是全部能捕捉到）

实战结束

Kali Linux学习之arp地址欺骗相关推荐

2022自学kali linux学习笔记
关于密码的破解在Linux上 /etc/passwd /etc/shadow 使用命令 unshadow 第一步 unshadow /etc/passwd /etc/shadow >test_ ...
Kali Linux学习笔记—Web渗透（1）
Kali Linux学习笔记-WEB渗透侦察 Httrack 扫描 Nikto vega skipfish w3af Arachni OWASP_ZAP 必须掌握 Burpsuite 必须掌握实验 ...
Kali Linux渗透测试-Ettercap DNS欺骗攻击
Kali Linux渗透测试-Ettercap DNS欺骗攻击 DNS欺骗攻击基于中间人攻击.攻击者更改受害者从DNS服务器查询的域名解析结果,给受害者发送恶意网页或者钓鱼网页-浏览器依然显示正常的u ...
kail linux dns欺骗,Kali Linux渗透测试-Ettercap DNS欺骗攻击-Go语言中文社区
Kali Linux渗透测试-Ettercap DNS欺骗攻击 DNS欺骗攻击基于中间人攻击.攻击者更改受害者从DNS服务器查询的域名解析结果,给受害者发送恶意网页或者钓鱼网页-浏览器依然显示正常的u ...
Kali Linux学习笔记—无线渗透 WPA攻击（PSK破解、AIROLIB、JTR、cowpatty、pyrit）
Kali linux 学习笔记无线渗透--WPA攻击(PSK破解.AIROLIB.JTR.cowpatty.pyrit) PSK破解原理 PSK破解过程实验步骤--使用字典rockyou.txt ...
深入剖析ARP地址欺骗病毒原理及欺骗过程
ARP地址欺骗类病毒发作的时候会向全网发送伪造的ARP数据包,干扰全网的运行,它的危害比一些蠕虫还要严重.本文从网络结构模型深入浅出的向大家讲解了ARP病毒及ARP地址欺骗的原理及表现形式. AD: ...
Kali Linux 学习日记6 - 局域网攻击
文章目录交换机工作原理 MAC地址泛洪攻击 MAC地址欺骗攻击 DHCP工作原理 DHCP攻击 ARP攻击交换机工作原理 1.交换机中有一个MAC地址表,里面是端口与MAC的对应.初始状态下,交换 ...
kali linux学习笔记
ARP欺骗:netfuck 需先安装wpcapinstall 来源ip就是目标要欺骗的ip 目标ip是本机网关双向欺骗爆破常见服务: smb telnet ftp 3389 mssql mysql ...
Kali linux学习入门-Kali菜单中各工具功能
想要进入安全行业为安全事业做贡献,就要硬着头皮学点什么.就像为什么军人往往都有更高的成就?因为自律.克服玩游戏的欲望吧,踏踏实实学点东西.http://www.cnblogs.com/lsdb/p/6 ...
Learning Kali Linux 学习Kali Linux Lynda课程中文字幕
Learning Kali Linux 中文字幕学习Kali Linux 中文字幕Learning Kali Linux Kali Linux是针对数字取证专家和渗透(笔)测试人员的Linux版本 ...

Kali Linux学习之arp地址欺骗

arp欺骗的两种情况

kali Linux实现arp欺骗的工具

用法：

选项：

arpspoof实战（同一局域网断网实战）

利用流量转发实战：arpspoof和driftnet 进行图片抓取

Kali Linux学习之arp地址欺骗相关推荐

最新文章

热门文章