关于ARP欺骗

本文科普一下ARP欺骗的一些知识,顺便教你怎样优雅的ARP欺骗。 What is ARP spoofing?

1.什么是ARP欺骗###

来自wikipedia上的解释是这样子的:

ARP欺骗(英语:ARP spoofing),又称ARP病毒(ARP poisoning)或ARP攻击,是针对以太网地址解析协议(ARP)的一种攻击技术。此种攻击可让攻击者取得局域网上的数据数据包甚至可篡改数据包,且可让网络上特定电脑或所有电脑无法正常连接。 ARP欺骗的运作原理是由攻击者发送假的ARP数据包到网络上,尤其是送到网关上。其目的是要让送至特定的IP地址的流量被错误送到攻击者所取代的 地方。因此攻击者可将这些流量另行转送到真正的闸道(被动式数据包嗅探,passive sniffing)或是篡改后再转送(中间人攻击,man-in-the-middle attack)。攻击者亦可将ARP数据包导到不存在的MAC地址以达到阻断服务攻击的效果,例如netcut软件。

例如某一网络闸道的IP地址是192.168.0.254,其MAC地址为00-11-22-33-44-55,网络上的电脑内ARP表会有这一笔ARP记录。攻击者发动攻击时,会大量发出已将192.168.0.254的MAC地址篡改为00-55-44-33-22-11的ARP数据包。那么网络上的电脑若将此伪造的ARP写入自身的ARP表后,电脑若要通过网络闸道连到其他电脑时,数据包将被导到00-55-44-33-22-11这个MAC地址,因此攻击者可从此MAC地址截收到数据包,可篡改后再送回真正的闸道,或是什么也不做,让网络无法连接。

我的理解是这样的:

我和小明在同一个局域网下,我对小明进行了arp欺骗,小明的数据就会到我的电脑上来。 首先我的电脑要把数据转发的功能打开,让小明的数据到我这里来以后,我还能给他发出去,也就是让小明能够正常上网,要不然小明就会生气。 在局域网内,网关是通过MAC地址识别电脑的,所以我就给网关发送消息,谎称我的mac地址是小明的mac地址,然后网关就会把小明的数据包发送给我,与此同时,我还要跟小明的电脑说,我的mac地址是网关的mac地址,你的数据包要发送给我,这样小明的数据也就流到我这里来了,我作为中间人,当然是有权利去查看这些数据的(要不然我攻击个毛)。

2.怎样进行ARP欺骗###

$sudo arpspoof -t 目标ip 网关ip

$sudo arpspoof -t 网关ip 目标ip

$sudo echo 1 >>/proc/sys/net/ipv4/ip_forward

具体解释如下: 第一句是让目标ip的mac地址指向本机ip,也就是网`让网关知道,目标ip的mac地址换了,换成我的了。 第二句是让网关知道,目标ip的mac地址是本机的mac地址。 第三句是在本地实现转发功能。

这样就实现了让目标电脑的流量流经本机了。 然后在用wireshark抓个包啥的,我就不多说了。

3.附注###

本人才疏学浅,记性还不好,记不住这么多命令。于是就从网上找了个软件,一键搞定了。

ettercap

这个软件就是个好东西了,用鼠标就能搞定一切,包括但不限于探测内网下所有主机,端口转发,流量监控。 有需要的同学可以自行google。

最后,我要是说不能做坏事的话,那我就天真了,只是希望大家能做坏事做的优雅一些,别违背道德。

comments powered by Disqus