【网络攻击】ARP欺骗

ARP欺骗

声明
B 站UP主泷羽sec

笔记的只是方便各位师傅学习知识，以下网站只涉及学习内容，其他的都与本人无关，切莫逾越法律红线，否则后果自负。

✍🏻作者简介：致力于网络安全领域，目前作为一名学习者，很荣幸成为一名分享者，最终目标是成为一名开拓者，很有趣也十分有意义
🤵‍♂️ 个人主页： @One_Blanks
欢迎评论 💬点赞👍🏻 收藏 📂加关注+

• 关注公众号：泷羽Sec-Blanks

ARP（Address Resolution Protocol）即地址解析协议，它的主要作用是将 IP 地址转换为 MAC 地址。ARP 欺骗（ARP Spoofing），也被称为 ARP 毒化（ARP Poisoning），是一种网络攻击手段。攻击者通过发送伪造的 ARP 消息，在局域网（LAN）中将自己的 MAC 地址与其他主机的 IP 地址关联起来，从而截获或篡改网络中的数据流量。

二、ARP 欺骗的原理

1. 正常的 ARP 工作过程
   • 在一个局域网中，当主机 A 想要向主机 B 发送数据时，它首先会查看自己的 ARP 缓存表。如果缓存表中没有主机 B 的 MAC 地址与 IP 地址的映射关系，主机 A 就会发送一个 ARP 请求广播包。这个广播包会在局域网中传播，询问 “谁是 IP 地址为 [主机 B 的 IP 地址] 的主机？请告诉我你的 MAC 地址”。
   • 当主机 B 收到这个 ARP 请求后，它会回复一个 ARP 响应包，将自己的 MAC 地址发送给主机 A。主机 A 收到响应后，就会将主机 B 的 MAC 地址和 IP 地址的映射关系添加到自己的 ARP 缓存表中，然后就可以利用这个 MAC 地址通过数据链路层发送数据给主机 B。
2. ARP 欺骗过程
   • 攻击者会发送伪造的 ARP 响应包。例如，攻击者 C 想要截获主机 A 和主机 B 之间的通信。它会向主机 A 发送一个 ARP 响应包，声称自己的 MAC 地址就是主机 B 的 MAC 地址，对应的 IP 地址是主机 B 的 IP 地址。同时，它也会向主机 B 发送一个 ARP 响应包，声称自己的 MAC 地址是主机 A 的 MAC 地址，对应的 IP 地址是主机 A 的 IP 地址。
   • 这样，主机 A 和主机 B 的 ARP 缓存表就会被毒化。当主机 A 想要发送数据给主机 B 时，数据实际上会发送到攻击者 C 的设备上，攻击者 C 就可以查看、篡改数据后再转发给主机 B，而主机 B 和主机 A 都很难察觉到这种中间人攻击。

三、ARP 欺骗的危害

1. 信息窃取
   • 攻击者可以截获用户在网络中的登录凭证，如用户名和密码。例如，在一个公司的局域网内，如果员工在登录公司内部系统或者外部网站时，攻击者通过 ARP 欺骗获取数据流量，就可以窃取这些敏感信息。
2. 数据篡改
   • 攻击者可以修改网络中传输的数据内容。比如在文件传输过程中，改变文件的内容，导致接收方收到错误的文件，这可能会对企业的数据完整性造成严重的破坏。
3. 拒绝服务攻击（DoS）
   • 攻击者通过不断发送伪造的 ARP 消息，导致网络中的设备 ARP 缓存表不断更新，消耗网络设备的资源，使网络出现拥堵或者瘫痪。例如，在一个网吧的局域网中，攻击者发动 ARP 欺骗攻击，可能会导致所有顾客无法正常上网。

四、防范 ARP 欺骗的措施

1. 静态 ARP 绑定
   • 可以通过手动设置设备的 ARP 缓存表，将 IP 地址和 MAC 地址进行静态绑定。例如，在路由器或者主机上，通过命令行或者图形界面设置固定的 ARP 表项，这样就可以防止被 ARP 欺骗消息修改 ARP 缓存。
2. 使用 ARP 防火墙
   • 安装 ARP 防火墙软件，这些软件可以检测和阻止异常的 ARP 数据包。例如，一些 ARP 防火墙能够识别出与本机 IP 地址相同但 MAC 地址不同的 ARP 响应包，并将其拦截，从而保护设备免受 ARP 欺骗攻击。
3. 采用 VLAN（虚拟局域网）技术
   • VLAN 可以将一个物理的局域网划分成多个逻辑的虚拟局域网。这样可以限制 ARP 欺骗攻击在一个 VLAN 内传播，减少攻击的范围。例如，在企业网络中，将不同部门划分到不同的 VLAN 中，即使一个 VLAN 内发生 ARP 欺骗攻击，也不会影响到其他 VLAN 的正常通信。

ARP欺骗攻击（ARP Spoofing）是通过伪造ARP（地址解析协议）请求或回复包，将攻击者的MAC地址与目标IP地址绑定，来达到中间人攻击、断网或数据窃取的目的。利用ARP欺骗对目标主机进行断网操作的思路可以通过以下几个步骤实现：

ARP欺骗

思路：

1. ARP协议概述：
   ARP协议用于将IP地址映射到MAC地址。当主机A向主机B发送数据包时，它会首先通过ARP请求获取主机B的MAC地址，并将其存储在ARP缓存中。攻击者可以伪造ARP包，修改目标主机的ARP缓存。
2. ARP欺骗的目标：
   在断网攻击的情况下，攻击者的目标是让目标主机（例如目标主机A）认为其默认网关（通常是路由器）或其他关键设备的MAC地址是攻击者的MAC地址，从而导致目标主机无法正常访问网络资源。
3. 攻击流程：
   • 攻击者首先通过ARP欺骗向目标主机发送伪造的ARP响应包，让目标主机将攻击者的MAC地址与网关的IP地址绑定。
   • 然后，攻击者可以发送类似的ARP响应包给网关，欺骗网关将攻击者的MAC地址与目标主机的IP地址绑定。
   • 这样一来，所有本应发往网关的数据包会被攻击者截获，而目标主机则无法正常访问网络，达到断网的目的。
4. 防范：
   • 设置静态ARP缓存：防止动态ARP更新，通过设置静态的ARP表项来防止ARP欺骗。
   • 使用加密的通信协议：如HTTPS、SSH等，以防止数据被篡改。
   • 使用ARP监控工具：如Arpwatch，监控网络上的ARP活动。
   • 部署ARP防护设备：如ARP防火墙设备或启用交换机的ARP防护功能。

具体实现：

1. 准备工具：
   可以使用一些网络攻击工具来执行ARP欺骗，如arpspoof、ettercap、mitmproxy等。这些工具都能够向网络中的主机发送伪造的ARP包。

2. 步骤：

   1. 扫描网络： 使用工具（如nmap或arp-scan）扫描目标网络，确定目标IP和网关的IP。

      nmap -sn 192.168.1.0/24  # 扫描目标网段
      

   2. 启动ARP欺骗攻击： 通过arpspoof或ettercap等工具，向目标主机和网关发送伪造的ARP包。例如，使用arpspoof可以对目标进行ARP欺骗：

      • 对目标主机进行欺骗，使其认为网关的MAC地址是攻击者的MAC地址。

        sudo arpspoof -i eth0 -t 192.168.1.100 192.168.1.1
        

        这里，-t 192.168.1.100是目标IP，192.168.1.1是网关IP。

      • 对网关进行欺骗，使其认为目标主机的MAC地址是攻击者的MAC地址。

        sudo arpspoof -i eth0 -t 192.168.1.1 192.168.1.100
        

   3. 验证： 攻击者成功发送ARP包后，目标主机的ARP表会将网关的IP与攻击者的MAC地址绑定，导致目标主机无法正常访问网关，从而断网。

3. 注意事项：

   • 这种攻击只对基于ARP协议的局域网有效（例如以太网环境），且需要攻击者能够与目标主机和网关位于同一局域网中。
   • 由于ARP是无认证的协议，攻击者只需能够发送伪造的ARP包就能成功执行此攻击。

结论：

通过ARP欺骗攻击，攻击者可以通过让目标主机的ARP缓存中出现错误的MAC地址映射，来断开目标主机与网络的连接。对于防范此类攻击，网络管理员可以采取静态ARP表、ARP监控及加密通信等手段来减少ARP欺骗攻击的风险。