2020-06-01 02:56:59 登录注册 RSS

当前位置: 公理网 >> 投诉不良 >> 用kali自带的arpspoof进行的一次arp欺骗的过程

用kali自带的arpspoof进行的一次arp欺骗的过程
发布时间:02-15| 来源:公理网 | 点击发表评论


以下将使用arpspoof进行两种模拟攻击。
第一种是单向欺骗靶机,使靶机中的arp表的网关硬件地址从正确的硬件地址变为攻击机kali的硬件地址。从而实现流量劫持。

原理:由于arp的规则是主机只要收到一个arp请求,并不会判断真伪。而是直接将该请求的ip和硬件地址添加到自己的arp表中。若之前已经存在相同的ip的表项,则根据新的请求来更新该ip地址的硬件地址。

(1)攻击机kali

IP:192.168.153.130

硬件地址:00:0c:29:4f:50:d3

(2)被攻击机win7

IP:192.168.153.132

硬件地址:00:0c:29:1b:95:02

(3)网关

IP:192.168.153.2

硬件地址:00-50-56-f8-ee-8d


首先看看正确的win7的arp表:

20200106195311498.png?x-oss-process=image/watermark,type_ZmFuZ3poZW5naGVpdGk,shadow_10,text_aHR0cHM6Ly9ibG9nLmNzZG4ubmV0L2xpa2Vfbml1c3R5bGU=,size_16,color_FFFFFF,t_70"alt="在这里插入图片描述">


正常情况下,win7上网流量需要通过网关的转发发向目标网站。靶机通过arp协议,根据arp表的物理地址找到网关所在地址。arpspoof则伪造一个假的物理地址,将靶机的流量欺骗发往特定的主机。

ARP欺骗复现:

arpspoof的用法:


名字
arpspoof-截获交换局域网中的数据包
arpspoof[-iinterface][-cown|host|both][-ttarget][-r]host
arpspoof通过伪造的ARP响应包改变局域网中从目标主机(或所有主机)到另一个主机(host)的数据包转发路径。这是交换局域网中嗅探网络流量的一种极为有效的方法。
内核IP转发(或如fragrouter这样的、用户层面的、能完成同样功能的软件)必须提前开启。
-iinterface
指定要使用的接口(即指定一块网卡)
-ttarget
指定一个特殊的、将被ARP毒化的主机(如果没有指定,则认为是局域网中所有主机)。重复可以指定多个主机。
-r毒化两个主机(目标和主机(host))以捕获两个方向的网络流量。(仅仅在和-t参数一起使用时有效)
hosthost是你想要截获数据包的主机(通常是网关)。


单向欺骗主要的参数是-t-i。-t参数后第一个IP地址是要欺骗的主机,第二个IP地址是要伪装成的主机。-i是网卡

20200106195753451.png?x-oss-process=image/watermark,type_ZmFuZ3poZW5naGVpdGk,shadow_10,text_aHR0cHM6Ly9ibG9nLmNzZG4ubmV0L2xpa2Vfbml1c3R5bGU=,size_16,color_FFFFFF,t_70"alt="在这里插入图从左往右,各列的值的含义是:发送者MAC地址(00:0c:29:4f:50:d3)、接收者MAC地址(00:0c:29:1b:95:02)、帧类型码(0806,代表ARP包)、包大小(42,字节)、包内容(arpreply192.168.153.2is-at0:c:29:4f:50:d3)。片描述">

从左往右的含义是:发送者MAC地址:00:0c:29:4f:50:d3;接收者MAC地址:00:0c:29:1b:95:02;帧类型码:0806;包大小:42,字节;包内容:arpreply192.168.153.2is-at0:c:29:4f:50:d3。

开始欺骗之后,win7不能上网。因为kali默认没有开启流量转发,/proc/sys/net/ipv4/ip_forward是配置文件,默认值是0,此时开启流量转发只需改成默认值为1。此时win7正常上网,完全发现不了有人在arp欺骗。20200106200332278.png"alt="在这里插入图片描述">


打开wireshark,可以抓到靶机浏览的ip地址。20200106200348916.png?x-oss-process=image/watermark,type_ZmFuZ3poZW5naGVpdGk,shadow_10,text_aHR0cHM6Ly9ibG9nLmNzZG4ubmV0L2xpa2Vfbml1c3R5bGU=,size_16,color_FFFFFF,t_70"alt="在这里插入图片描述">


发现182.61.200.7是百度的一个ip地址。也就是在劫持期间靶机浏览了百度。

Ctrl+z之后,被攻击机的arp表会恢复正常,因为arpspoof会发送清理包。

第二种是双向欺骗。
(1)一号靶机win7:

IP地址:192.168.153.132

mac地址:00:0c:29:1b:95:02

(2)二号靶机XP:

IP地址:192.168.153.133

mac地址:00-0C-29-AE-89-F8

20200106200420688.png?x-oss-process=image/watermark,type_ZmFuZ3poZW5naGVpdGk,shadow_10,text_aHR0cHM6Ly9ibG9nLmNzZG4ubmV0L2xpa2Vfbml1c3R5bGU=,size_16,color_FFFFFF,t_70"alt="在这里插入图片描述">

可以发现kali分别给win7和xp发送欺骗的arp表,这样kali就能嗅探在win7和xp中互相通信的所有信息了。


授予每个自然周发布1篇到3篇原创IT博文的用户。本勋章将于次周周三上午根据用户上周的博文发布情况由系统自动颁发。

最新新闻

手机浏览

公理网 版权所有

公理网 Total 0.060986(s) query 6, 报料QQ:点击这里

给我发消息