ARP攻击方式(ARP攻击原理和如何防范)

何为网络嗅探？

通俗的讲指安全技术人员或为黑客利用嗅探等工具进行窃听网络上流经的数据包的行为。

 

其抓包原理，如下图所示：

 

工具使用：

这里使用tcpdump，tcpdump是一个截取网络分组，并输出分组内容的工具。

其格式为：

tcpdump -i <网卡名称>
如：tcpdump -i eth0

 

抓取的报文显示如下：

17:33:25.879661 IP 192.168.70.128.45754 > 192.168.70.2.domain: 7732 PTR? 2.70.168.192.in-addr.arpa. (43)

包括了抓包时间 报文类型(IP) 源主机:端口 > 目标主机:端口 报文的摘要

加上这些参数如： -v -vv -vvv 将抓到的报文显示得更加详细些：

 

也可以通过：

-w <文件名.pcap> 
tcpdump -i eth0 -w 1.pcap

 

将抓到的报文存成1.pcap文件（命名可以任意），为了更好查看数据分析，将这个文件在wireshark中来分析。

上一步我是通过浏览器通过百度百科的方法查阅，根据在wireshark分析中，点击追踪流中的TCP流看到，属实没错。

 

在pcap文件中，也可以设置过滤等条件来抓取对应的信息。

比如可以通过：man pcap-filter 命令查看过滤条件的帮助信息。

1、过滤主机的命令：

tcpdump [src|dst] host <ip>

2、过滤端口号的命令：

tcpdump [src|dst] port <端口号>

3、 过滤协议：

tcpdump tcp|udp|icmp...

4、条件与或非 and or not：

tcpdump tcp and src host 220.181.112.211 and src port 80 

ARP实现：

在讲ARP之前，理解下寻路的过程？通过过可以过下面一张图来解释更直观些：

 

安装telnet ：

操作步骤：

telnet是一个最简单的tcp客户端，它也是一个协议来着，该协议以前操作linux服务器使用的协议，现在都用ssh ，telnet协议是不加密的，只要能够抓包就能够看到上面的通信的信息，安全性方面不细说，直接看需求

首先部署telnet服务器，利用telnet客户端连接，再输入用户名和密码，最后我们通过让wireshark抓包分析数据。

1、安装telnet服务：

通过命令：

sudo apt-get install telnet telnetd
apt-get install xinetd

因为我之前安装过，所以会出现这些信息：

 

2、文件中修改配置：

vim /etc/xinetd.d/telnet
service telnet
{
	disable = no
	flags = REUSE
	socket_type = stream
	wait = no
	user = root
	server = /usr/sbin/in.telnetd
	server_args = -h
	log_on_failure  = USERID
}

 

修改完成之后，重启下服务：

/etc/init.d/xinetd restart

3、使用telnet客户端进行连接：

格式为：

telnet <ip>

4、ARP协议：

用通俗的话来讲，就是通过发送IP报文能够让对方机器成功捕获到，在以太网帧中必须要填对方的物理地址。如果只知道对方的IP地址，而不知道其物理地址，就必须使用ARP协议进行解析。比如：

a机器（192.168.1.1）想知道b机器（192.168.1.2）的物理地址，那么A可以通过发送一个广播报文 ，物理地址是 FF-FF-FF-FF-FF-FF，其中发送的广播报文中包含一个信息是：谁是 192.168.1.2 ，是的话就回我一下，并告诉我你的物理地址是什么？当b机器收到该报文时，就会做做ARP应答，且发送一个特定的报文给a机器，告诉a机器说，我的物理地址是什么什么。而对于其他机器而言，我没有被叫到，我当作没听到，这个有点像上学时，老师点名的一样场景，叫到谁的名字，那个人应一声“到”。

5、ARP攻击：

有了ARP协议，就会有被制造攻击的行为，比如ARP欺骗行为，实验场景可以利用三台机器，一部当作靶机，一部当作攻击机，一部做web服务器，并有各自正确的物理地址。如果不清楚自己机器的物理地址，可以通过这条命令查看：

ifconfig

 

其实现思路可以这样：

靶机正常情况是能够访问web服务的，当攻击机使用ARP攻击靶机之后，靶机要访问web的服务，靶机就此就会访问不了web的任何服务了。

可以通过以下命令来实现：

arpspoof -i <网卡名称> -t <要欺骗的目标> <我是哪位>

比如：

靶机的ip地址为：192.168.1.1；

攻击机的ip地址为：192.168.1.2；

web服务器的ip地址为：192.168.1.3。

整体命令可以这样：

arpspoof -i eth0 -t 192.168.1.1 192.168.1.3

ARP防御：

可以通过写死ARP表对应机器的物理地址，比如可以通过下面命令：

sudo arp -s <填写ip地址> <填写正确的物理地址>

总结：

在ARP中，攻击机可以简单的来开启 ip_forward 功能，通过将不是自己的ip报文丢给正确的机器，让其攻击机作为一个中间人身份的方式来监听目标机器通讯的一种行为。

可以通过切入这个/proc/sys/net/ipv4/文件目录中，再执行下面一条命令开启功能：

echo 1 > ip_forward <参数填写：0代表关闭，1代表开启>

 

最后温馨提醒下：技术是学来或用来用在对的事情之上的，遵守法律法规，做到合理合法，踏踏实实地做一个白帽子，共同维护一个良好的网络环境。