#基础知识#
ARP (地址解析协议)(Address Resolution Protocol)
-
根据 IP地址 获取物理地址的 一个TCP/IP协议。
-
主机 发送信息时 将 包含目标IP地址 的 ARP请求 广播到 局域网络 上的所有主机,并接收返回消息,以此确定目标的物理地址;
-
收到返回消息后 将该IP地址和物理地址 存入本机ARP缓存中并保留一定时间,下次请求时直接查询ARP缓存以节约资源。
-
地址解析协议是建立在网络中各个主机互相信任的基础上的,局域网络上的主机可以自主发送ARP应答消息,其他主机收到应答报文时不会检测该报文的真实性就会将其记入本机ARP缓存;
-
由此攻击者就可以向某一主机发送伪ARP应答报文,使其发送的信息无法到达预期的主机或到达错误的主机,这就构成了一个ARP欺骗。
-
ARP命令可用于查询本机ARP缓存中IP地址和MAC地址的对应关系、添加或删除静态对应关系等。
-
相关协议有RARP、代理ARP。NDP用于在IPv6中代替地址解析协议。
-
B(192.168.1.10)主机 发送数据 到哪里都是根据 本机arp表 和路由表判定的,比如向局域网内或局域网外发送数据,都会通过自己的默认网关转发数据
-
本地arp表会不定时的刷新ip–mac关系,在本地arp表没有网关192.168.1.1的mac信息时,会发送广播问谁的ip地址是192.168.1.1,这个时候局域网所有主机都会收到这条信息
-
正常情况下应该是192.168.1.1将mac地址回应给主机B刷新arp表,但是这时候主机A(192.168.1.5)回应说自己就是192.168.1.1,并将mac返回给主机B刷新B的arp表
-
主机B的arp里对应信息为这样 192.168.1.1-------主机B(192.168.1.5)的mac,得到了网关的mac后就开始传输真正的数据了
-
数据包封装上 源(主机B)mac 目的为网关mac(实际是主机A的mac)
-
交换机是这样转发:交换机有个CAM表,存放交换机物理端口和mac对应关系,拆解数据包,看该数据包的目的mac是谁,然后根据cam表转发到对应的端口
-
由于封装的目的mac是主机A的mac,所以本来发给网关的数据,现在发给了主机A,这就是一个欺骗。
-
主机A不仅仅欺骗主机A,它还会欺骗网关,说自己就是主机B。
简单原理:
主机A说自己是网关,骗将发给网关的数据发给主机A 然后由主机A发送给真正的网关。 主机A告诉网关它就是主机B 骗将发给B的数据发给主机A,然后由A转发给主机B。如何防止arp欺骗:
划分vlan和绑定静态的arp表 静态arp表有个弊端就是,如果你绑定的那台旧主机拆走了 接进来另外一台新主机,而你的arp表存的旧主机的mac 这样数据包就转发不出去了
-
攻击方法:被动
-
攻击环境:
kalilinux系统
和 要欺骗的主机在同一局域网。
你所在局域网没有被划分vlan。 -
命令语句: ettercap -i 网卡 -Tq -M arp:remote /网关ip/受害者ip/ 或者 ///
-Tq 安静模式
-M arp:remote 选择插件 -
工具介绍:
Ettercap:网络嗅探器 ,中间人攻击 。支持很多种协议(即使是加密的),包括网络和主机产品特征分析,dns欺骗等
- 虚拟机想测试主机所在局域网如下选择(VMware)
