众所周知,在大部分的局域网攻击中,都是利用ARP欺骗原理,虽然知道这样,会有人说我开启了防火墙或者360以及管家之类的软件,即使你开启了也不一定能防御ARP攻击!因为好多软件是默认不开启的!即使是开启这样的功能,也会对网卡转发报文的效率产生影响,接下来,我就分享下如何进行ARP攻击以及防御。
ARP欺骗断网攻击
ARP协议在出现的不久后,有人就发现了这个协议是一根筋的思维,何为一根筋,我们慢慢道来........
首先,通常在实施攻击前我们会利用嗅探工具进行扫描(前期已做分享。)
现在,我利用图中的攻击者去攻击我的真实主机 10.0.8.26/24
打开kali linux 输入以下命令。
我的真实主机也一直在长ping网关进行观察:
实施攻击的时候,我们发现在Ping网关的界面中出现了请求超时,并且你在浏览浏览器的时候也会出现访问不了的故障!
crtl+c停止攻击,看到界面中的网络已恢复!虽然我们开启了360之类的防御软件,但是没有开启特殊防护功能是无法防御的!
这种攻击的原理在于ARP欺骗。ARP这个地址解析协议协议在局域网中我们常常能看到,这种基础协议的作用无非就是通过目的IP地址,请求对方MAC地址的一个过程!这个过程过于基础,这里不做详细解释。
ARP属于一个泛洪的报文,目标mac地址是全F。
取决于交换机的工作原理,交换机见到全F的报文就会形成群发操作,设备时分不清这个是正常流量还是攻击流量!
我们来看下这张图,当服务器想去访问10.0.1.4/24的主机2的时候,在局域网中服务器是不知道主机2在那里,它就会发送一个ARP请求报文,由交换机从除了流入端口外的所有端口转发出去,形成广播报文,等待10.0.1.3的mac地址回应。
在ARP回应报文中携带了主机2的mac地址返回给服务器的时候,我们就可以发送ARP欺骗攻击了。利用技术手段让黑客这台主机发送ARP回应报文,伪装成10.0.1.4这台主机。
在众多网络协议中,ARP这个协议不算是聪明的一类,在它的规则中,任何人发送一个报文并且最后回应道到设备的,我就相信谁的报文。
所以,黑客技术利用了ARP协议的这一BUG,即使你服务器没有发送ARP请求,我也可以毫无顾忌的发送ARP回应报文(单播报文),服务器设备还是相信并且刷新自己的MAC地址表,这就造成了即使真正的数据报文回应到服务器上也会很快的被虚假Mac表覆盖掉,而交换机又不知道这个Mac 地址是真是假,就把来自服务器的数据报文转发给黑客的那台主机了。
这时,你就不能正常访问互联网了。原因就是黑客欺骗了你,让你这台主机以为他就是网关了。
我们可以在arp -a中,能看到主机的网关地址的真实地址。
而被攻击后,就变成了攻击者的Mac地址了。
稍微高明的黑客会让你的数据通过,并且保留你的数据报文,进行嗅探和挖掘。这样就很麻烦了,黑客就可以进行对这些数据进行篡改,限速等等......黑客一是会欺骗你的主机冒充网关,二是欺骗网关冒充你的主机。
ARP两头哄骗技术图解
黑客的攻击机首先会毒化网关,不停的发送arp回应报文称自己是服务器2.毒化网关的ARP缓存表。
黑客再发送arp回应报文给1.40 冒充网关欺骗1.40,毒化服务器2,这样的话,设备就会覆盖当前(后来的优先)的arp表,也叫两头哄骗技术。
最后造成的结果,就是服务器如果想要访问互联网,那么数据一定是经过黑客的那台主机的路径进行访问,黑客那台主机再开启转发功能的话,将你的数据转发给10.0.1.1,那么你是绝对不会察觉到断网的,这样他就可以随心所欲的捕获和限制的你业务流量了。
Kali linux 开启转发功能
我们模拟黑客那台主机,捕获到用户业务数据后,攻击时让用户察觉不到断网,查看用户数据报文。
开启 kali linux 路由转发报文功能
默认是不开启的。如果输入0就代表了关闭路由转发报文功能。
root@kali:~# echo 1 > /proc/sys/net/ipv4/ip_forward
在实施攻击前,我看下局域网内的一个主机真实的网关Mac地址:在我实施攻击之后,我们可以观察到这个网关的地址会变成攻击者的网卡对的mac地址。
小技巧:在Linux中我们使用crtl+shift+t的快捷键可以快速的切终端窗口。
在实施攻击之后,我们发现局域网的这台受害者主机的mac地址发生了变化。变成了Kali Linux主机的网卡的mac地址。
时间关系,我们下节演示两头欺骗攻击演示。再见...........
