ARP 攻击

发表于 分类于 阅读次数: Disqus:

2016年的最后一篇文章,势必赶在最后的两小时前写完这篇文章。

ARP 欺诈

ARP 欺诈主要是在局域网内,通过伪造 IP 地址和 MAC 地址来达到欺诈的目的,并且会在网络中产生大量的 ARP 通讯,使网络瘫痪。攻击者只要持续不断的发出伪造的 ARP 响应包就能更改目标主机 ARP 缓存中的 IP-MAC 条目,造成网络中断或中间人攻击。

怎么实现 ARP 欺诈

在网络上搜索还是能搜到具体的方法的,在此只做总结,具体实现目前也没有研究过。仅供娱乐切勿违法。

欺诈前准备

一台接入路由器的电脑,路由器会分配给你内网 IP。电脑系统最好是 Linux ,如果是 windows 大概软件会更多。

一些软件

  • ettercaps,ARP 欺诈发包软件
  • driftnet,数据包图片显示软件

在 Ubuntu 下可以直接使用 apt 来安装

使用方法

ettercaps ARP欺骗之会话劫持

加入你连接路由的网卡是 eth0,网关为 10.0.0.1,那么

1
2
ettercap -i eth0 -T -M arp:remote /10.0.0.1/ // # 欺骗局域网内所有主机
ettercap -i eth0 -T -M arp:remote /10.0.0.1/ /10.0.0.12/ # 欺骗IP为10.0.0.12的主机

这是可以使用 tcpdump 对欺诈成功后发过来的包进行抓取,使用 tcpdump

1
tcpdump -i eth0

也可以使用 driftnet 实时显示图片。

如何防御

防御还是比较棘手的,造成网络拥堵的情况下只能找到发包的主机,还有就是要绑定自己电脑的网关地址。