道德黑客 - ARP 中毒


地址解析协议 (ARP) 是一种无状态协议,用于将 IP 地址解析为机器 MAC 地址。所有需要在网络上进行通信的网络设备都会在系统中广播 ARP 查询,以查找其他计算机的 MAC 地址。ARP 中毒也称为ARP 欺骗

以下是 ARP 的工作原理 -

  • 当一台机器需要与另一台机器通信时,它会查找其 ARP 表。

  • 如果在表中未找到 MAC 地址,则通过网络广播ARP_request 。

  • 网络上的所有计算机都会将此 IP 地址与 MAC 地址进行比较。

  • 如果网络中的一台机器识别出该地址,那么它将使用其 IP 和 MAC 地址响应 ARP_request

  • 发出请求的计算机会将地址对存储在其 ARP 表中,然后将进行通信。

什么是 ARP 欺骗?

可以伪造 ARP 数据包将数据发送到攻击者的机器。

  • ARP欺骗会构造大量伪造的ARP请求和应答报文,使交换机过载。

  • 交换机设置为转发模式,在ARP 表中充斥着欺骗性 ARP 响应后,攻击者可以嗅探所有网络数据包。

攻击者用伪造的条目淹没目标计算机的 ARP 缓存,这也称为中毒。ARP 中毒使用中间人访问来毒害网络。

什么是 MITM?

中间人攻击(缩写为 MITM、MitM、MIM、MiM、MITMA)意味着攻击者通过在受害者之间创建连接并在受害者之间发送消息来冒充用户。在这种情况下,受害者认为他们正在相互通信,但实际上,恶意Behave者控制了通信。

第三人称

第三人的存在是为了控制和监视两方之间的通信流量。SSL等一些协议可以防止此类攻击。

ARP 中毒 - 练习

在本次练习中,我们使用BetterCAP在 LAN 环境中执行 ARP 中毒,使用 VMware 工作站,在其中安装了Kali Linux 和Ettercap工具来嗅探 LAN 中的本地流量。

对于本练习,您将需要以下工具 -

  • VMware工作站
  • Kali Linux 或 Linux 操作系统
  • 埃特卡工具
  • 局域网连接

注意- 这种攻击在有线和无线网络中都是可能的。您可以在本地 LAN 中执行此攻击。

步骤 1 - 安装 VMware 工作站并安装 Kali Linux 操作系统。

步骤 2 - 使用用户名“root, toor”登录 Kali Linux。

步骤 3 - 确保您已连接到本地 LAN 并通过在终端中键入命令ifconfig检查 IP 地址。

如果配置

步骤 4 - 打开终端并输入“Ettercap –G”以启动图形版本的 Ettercap。

埃特卡普

步骤 5 - 现在单击菜单栏中的“嗅探”选项卡并选择“统一嗅探”,然后单击“确定”选择接口。我们将使用“eth0”,这意味着以太网连接。

埃特卡输入

步骤 6 - 现在单击菜单栏中的“主机”选项卡,然后单击“扫描主机”。它将开始扫描整个网络以查找活动主机。

步骤 7 - 接下来,单击“主机”选项卡并选择“主机列表”以查看网络中可用的主机数量。该列表还包括默认网关地址。我们在选择目标时必须小心。

主机选项卡

步骤 8 - 现在我们必须选择目标。在 MITM 中,我们的目标是主机,路由将是转发流量的路由器地址。在 MITM 攻击中,攻击者拦截网络并嗅探数据包。因此,我们将受害者添加为“目标 1”,将路由器地址添加为“目标 2”。

在VMware环境中,默认网关总是以“2”结尾,因为“1”被分配给物理机。

步骤 9 - 在这种情况下,我们的目标是“192.168.121.129”,路由器是“192.168.121.2”。因此,我们将目标 1 添加为受害者 IP,将目标 2 添加为路由器 IP

目标

步骤 10 - 现在单击“MITM”,然后单击“ARP 中毒”。此后,选中“嗅探远程连接”选项并单击“确定”。

中间人攻击

步骤 11 - 单击“开始”并选择“开始嗅探”。这将在网络中启动 ARP 中毒,这意味着我们已在“混杂模式”下启用网卡,现在可以嗅探本地流量。

注意- 我们只允许使用 Ettercap 进行 HTTP 嗅探,因此不要期望在此过程中嗅探 HTTPS 数据包。

步骤 12 - 现在是时候查看结果了;如果我们的受害者登录了某些网站。您可以在 Ettercap 的工具栏中看到结果。

结果

这就是嗅探的工作原理。您一定已经了解,仅通过启用 ARP 中毒即可轻松获取 HTTP 凭据。

ARP 中毒有可能在公司环境中造成巨大损失。这是任命道德黑客来保护网络安全的地方。

与ARP中毒一样,还有MAC泛洪、MAC欺骗、DNS中毒、ICMP中毒等其他攻击也会给网络造成重大损失。

在下一章中,我们将讨论另一种类型的攻击,称为DNS 中毒