Redian新闻
>
简析ARP欺骗

简析ARP欺骗

科技


数据转发过程

在聊ARP之前,我们需要先了解一下我们在发送一个数据时在网络中发生了什么 ,它需要什么东西,又是怎么获得的?对方又是怎么接收到的?当前现网中我们都是使用TCP/IP协议栈进行网络通信的,假设当前你正在通过火狐浏览器访问tide官网(www.tidesec.com),当你输入完网址,敲下回车键后,计算机内部会发生如下事情: 首先当前计算机只知道域名为www.tidesec.com,此时要先向DNS服务器发送数据去请求www.tidesec.com的IP地址,DNS服务器收到数据包后发现计算机请求获得www.tidesec.com的IP地址,将www.tidesec.com所绑定的IP地址打包发送给计算机。

火狐浏览器调用HTTP协议,完成应用层数据封装,HTTP依靠传输层的TCP进行数据的可靠性传输,将封装好的数据传输到传输层,传输层将应用层传递下来的Data添加上相应的TCP头部信息(源端口、目的端口)后。传递给网络层,网络层收到传输层传递爱的数据段后添加上相应的IP头部信息(源IP、目的IP)后将数据包传递给数据链路层,数据线路层收到后,添加上相应的Ethernet头部信息(源MAC地址、目的MAC地址)和FCS帧尾后将数据帧传递给物理层,根据物理介质的不同,物理层负责将数字信号转换成电信号、光信号、电磁波信号等,转换完成的信号在网络中开始传递。

如刚刚上面数据发送方数据封装的流程,我们看到了在封装时,传输层需要源目端口,这里源端口随机分配,目的端口由服务器的应用指定,网络层需要源目IP,这里刚刚我们向DNS服务器请求www.tidesec.com时也获得了tide官网的IP地址,也能实现,那么现在数据链路层需要源目MAC地址,源MAC地址好说,自己的mac地址,那目的mac地址呢?该怎么获取呢?这时就需要用到我们的ARP协议了。

地址解析协议(ARP)

ARP(Address Resolution Protocol)是一种网络层协议,根据已知的目的IP地址解析获得其对应的MAC地址。在局域网中,每台设备都有唯一的MAC地址,就像我们的身份证号一样在全球独一无二的,而IP地址是可以重复分配的。因此,当一个设备需要发送数据包到另一个设备时,它需要知道另一个设备的MAC地址。

那么ARP是怎么工作的呢?一般设备里都会有一个ARP缓存表,用来存放IP地址和MAC地址的关联信息,在发送数据前,设备会先查找ARP缓存表,如果缓存表中存在对方设备的MAC地址,则直接采用该MAC地址来封装帧,然后将帧发送出去。如果缓存表中不存在相应信息,则通过ARP来获取。

当ARP缓存表为空时,主机1通过发送ARP request报文来获取主机2的MAC地址,由于不知道目的地址,因此ARP Request报文内的目的MAC为广播地址FF-FF-FF-FF-FF-FF,因为ARP Request是广播数据帧,因此交换机收到后,会对该帧执行泛洪操作,也就是说该网络中所有主机包括网关都会接收到此ARP Request报文。

所有的主机接收到该ARP Request报文后,都会检查它的目的IP地址字段与自身的IP地址是否匹配。主机2发现IP地址匹配,则会将ARP报文中的发送端MAC地址和发送端IP地址信息记录到自己的ARP缓存表中。

这时主机2通过发送ARP Reply报文来响应主机1的请求,此时主机2已知主机1的MAC地址,因此ARP Reply是单播数据帧。

主机1收到ARP Reply以后,会检查ARP报文中目的端IP地址字段与自身的IP地址是否匹配。如果匹配,ARP报文中的发送端MAC地址和发送端IP地址会被记录到主机1的ARP缓存表中。

至此,ARP工作结束,获得目的IP对应的MAC地址后,即可封装完整的数据包进行数据包的发送(上述工作过程为局域网内的工作过程,如访问其他网段或外网中的IP地址时,所获得的MAC地址为网关的MAC地址,网关收到此ARP Request后会发送ARP Reply)

ARP欺骗

刚刚我们也看到了,ARP协议是通过广播来获取目标设备的MAC地址的,当一个设备需要发送数据到另一个设备时,他会发送一个ARP请求,询问局域网内的所有设备,是否具有指定IP地址对应的MAC地址,目标设备收到请求后会回复一个ARP应答,告诉请求主机它的MAC地址。ARP欺骗利用了这种工作原理,攻击者会发送伪造的ARP数据包,将自己伪装成网关或其他设备,目标设备收到伪造的ARP数据包后,会将攻击者的MAC地址和其目标IP地址相对应写入ARP缓存表中,并将后续数据包发送给攻击者。攻击者就可以截获目标设备发送的数据包,甚至可以修改、篡改数据包中的内容。同样的ARP欺骗也分为单向欺骗和双向欺骗。

单向欺骗

如下图所示,攻击者通过伪造ARP Request来将自己的MAC地址伪装成网关IP相对应的mac地址广播出去,主机A收到该ARP Request后会将发现该ARP Request目的IP地址为自己,将该ARP Request中的目的IP地址与MAC地址写入到ARP缓存表后,然后发送ARP Reply,将本该传输给网关的数据错误的传输给攻击机,使主机A得不到网关的响应数据,从而导致断网。

以上就是ARP单向欺骗的原理,那我们怎么来实现呢?往下看 首先我们先来查看一下主机A的mac地址缓存表,当前192.168.45.2就是当前系统的网关地址,所对应的也是真实的MAC地址

那么现在主机A也是可以正常上网的。

根据我们上面的思路来看,我们如果想要让主机A找不到网关无法上网,我们只需要构造一个IP地址为192.168.45.2的虚假mac地址的ARP Reply数据包就可以了,这里我们使用科莱网络分析系统这个工具就可以实现这个功能。首先我们来先对当前网段的MAC地址进行一个扫描,获得主机A的MAC地址。

这里获得了主机A的MAC地址后,就可以点击上面的数据包生成器。

添加ARP数据包

然后在目的MAC地址和目的IP中输入我们的目标主机的IP和MAC地址,源MAC地址任意输即可,源IP输入网关的IP地址。

然后点击发送,选择网卡,这里选择循环发送,次数为0,让它一直发送伪造的ARP数据包后点击开始。

这时我们抓包看一下当前的网络状况,可以看到,源mac为00-01-02-03-04-05,寻找目的IP地址为192.168.45.131的ARP Request已经发出。

这时我们再来看主机A的ARP地址表中是否有了变化

image.png

可以看到主机A中对应192.168.45.2的MAC地址成功被我们修改为了00-01-02-03-04-05,那这时我们再访问一下百度来看看。

可以看到主机A目前已经无法正常返回百度。

双向欺骗

如下图所示,攻击机一直发送伪造的ARP Reply,欺骗网关自己是主机A,欺骗主机A自己是网关,同时开启路由转发功能,就可以让主机A在正常上网的情况下截获网络数据包,所有数据都会经过攻击机然后再转发给主机A。

如上图所示,进行ARP双向欺骗后,主机A所有的通信都需要经过攻击机,攻击者再对目标和网关之间的数据进行转发,则可作为一个"中间人",实现监听目标却又不影响目标正常上网的目的。可通过kali中自带的arpspoof工具进行攻击,首先在kali上开启数据转发

#终止
echo 0 > /proc/sys/net/ipv4/ip_forward
#允许
echo 1 > /proc/sys/net/ipv4/ip_forward

首先来看我们攻击机的mac地址为00:0C:29:4B:AE:FB

然后使用arpspoof进行双向毒化攻击

arpspoof -i eth0 -t 192.168.45.143 -r 192.168.45.2

开启后我们再来看当前网络情况

可以看到当前网络中同时发出了两个ARP Reply,源IP分别为网关和主机A,源mac为攻击机的mac地址,这里我们再来看下主机A的MAC地址缓存表

可以看到当前主机A的MAC地址缓存表中,192.168.45.2的mac地址与我们的攻击机一致,这里我们访问一下TideFinger 潮汐指纹识别网站,也是可以正常访问的。

然后再看我们攻击机有没有抓到主机A访问http://finger.tidesec.net/的流量

以上就是ARP双向欺骗劫持流量的内容,那么,ARP双向欺骗除了能做流量劫持外,还可以做DNS劫持,假如主机A想要访问www.baidu.com,我们可以通过毒化DNS来达到让主机A跳转到我们的钓鱼站点来。 这里需要用到我们在kali中自带的ettercap,在使用前先修改一下它DNS的配置文件。

vim /etc/ettercap/etter.dns

然后打开ettercap,点击开始按钮

ettercap -G

扫描当前网络

将目标主机和网关分别添加到Target1和Target2中

添加完毕之后,打开ARP poisoning,选择Sniff remote connections,点击OK

然后选择Plugins-Manager Plugins,勾选DNS_Spoof。

然后点击左上角的start按钮即可开始攻击。

这时再去访www.baidu.com时,即可跳转的我们刚刚所劫持的网站中,如下图所示。


往期推荐

敏感信息泄露

潮影在线免杀平台上线了

自动化渗透测试工具开发实践

【红蓝对抗】利用CS进行内网横向

一个Go版(更强大)的TideFinger

SRC资产导航监测平台Tsrc上线了

新潮信息-Tide安全团队2022年度总结

记一次实战攻防(打点-Edr-内网-横向-Vcenter)

E

N

D


知识星球产品及服务

团队内部平台:潮汐在线指纹识别平台 | 潮听漏洞情报平台 | 潮巡资产管理与威胁监测平台 | 潮汐网络空间资产测绘 | 潮声漏洞检测平台 | 在线免杀平台 | CTF练习平台 | 物联网固件检测平台 | SRC资产监控平台  | ......


星球分享方向:Web安全 | 红蓝对抗 | 移动安全 | 应急响应 | 工控安全 | 物联网安全 | 密码学 | 人工智能 | ctf 等方面的沟通及分享


星球知识wiki:红蓝对抗 | 漏洞武器库 | 远控免杀 | 移动安全 | 物联网安全 | 代码审计 | CTF | 工控安全 | 应急响应 | 人工智能 | 密码学 | CobaltStrike | 安全测试用例 | ......


星球网盘资料:安全法律法规 | 安全认证资料 | 代码审计 | 渗透安全工具 | 工控安全工具 | 移动安全工具 | 物联网安全 | 其它安全文库合辑  | ......

扫码加入一起学习吧~

微信扫码关注该文公众号作者

戳这里提交新闻线索和高质量文章给我们。
相关阅读
listen to your cues making more time for yoga防晒衣不防晒?别被黑心商家欺骗了~小学成绩极具欺骗性,哪些孩子容易掉队?别猜啦,我请来北京四中校长亲自解读小学成绩有很大的欺骗性,很多高分孩子到了初中就会掉队,是真的吗?用友网络回应华为进军ERP致股价跌停:市场反应过度,影响不大懒人必备减肥法!丹麦新研究揭示:一幅美食图重复观看30次就能“欺骗”你的大脑,产生饱腹感满足食欲!长篇小说《如絮》第一百零二章 旧金山-2004年 好时机当AI开始欺骗全世界:一键换脸,克隆语音,骗钱,骗色,骗媒体,制造恐慌.....今日财经 | 拼多多去年净利315亿元,股价大跌!华为自研ERP吓崩用友和金蝶;金价猛涨!广州夫妇一次买超70万元黄金华为自研MetaERP替换原有甲骨文ERP产品华为将进军ERP市场?国内ERP厂商股价先跳水了……万字长文概览大语言模型对齐(欺骗性对齐、可扩展的监管、机械可解释性、工具性目标趋同)科大讯飞公布讯飞星火认知大模型;羊了个羊涉“欺骗误导强迫用户”被通报 ;苹果手机或被欧盟禁售……乌鹅最新:一个重大的转折点,一个愚蠢的自我欺骗BB鸭 | 《羊了个羊》回应欺骗误导用户;丰田追加一万亿投资新能源汽车;微信公众号打通视频号带货;海信手机天猫旗舰店终止运营始祖鸟创意总监们,正在阅读的「Gorpcore 教科书」8点1氪:员工不转朋友圈被罚1万且开除;巴菲特称不想跟马斯克竞争;羊了个羊涉“欺骗误导强迫用户”被通报中国人太容易欺骗了:思想类短视频为何只在国内流行?短视频博主笑晕在厕所:中国人实在太容易欺骗“小院高墙”里的大国博弈——由沙利文演讲简析美国对华产业管制趋势妹子追踪丢失的AirPods,发现它出现在一个陌生人家里!而这人居然是...水太深!女子在飞机上弄丢AirPods,谁知它竟出现在这!内幕令人吃惊...“假离婚”欺骗组织,退休近7年的厅官被开除党籍反中微子冲撞狄拉克?“无催化转换器、出过事故”,南加男子花光积蓄买梦想跑车,却惨遭二手车行欺骗女子在飞机上弄丢AirPods,谁知它竟出现在这!内幕令人吃惊...快醒醒,别让直觉欺骗了你渔歌子(2):春萌万物绿织荫Flyme Auto,就是你想要的苹果 CarPlay Pro?愚人节:假如生活欺骗了你台湾的美食和美景早鸟报|腾讯否认微信底栏新增视频号入口;巨量纵横全面升级为“巨量引擎工作台”;华为正式官宣进军ERP市场​...百度文心一言下周正式上线;华为:别担心,没进军 ERP;抖音版 B 站「青桃」上线 | 极客早知道主动管理能力比拼的是什么?四只基金简析衰退风暴将至!摩根大通资管CIO警告:现在像2008年危机期间的欺骗性平静
logo
联系我们隐私协议©2024 redian.news
Redian新闻
Redian.news刊载任何文章,不代表同意其说法或描述,仅为提供更多信息,也不构成任何建议。文章信息的合法性及真实性由其作者负责,与Redian.news及其运营公司无关。欢迎投稿,如发现稿件侵权,或作者不愿在本网发表文章,请版权拥有者通知本网处理。