ARP 欺骗(ARP Spoofing)又称 ARP 毒化,是局域网中常见的中间人攻击技术。ARP 欺骗的核心是利用 ARP 协议 “无验证” 的设计缺陷,通过伪造响应篡改 ARP 缓存表;其危害集中在局域网内的流量劫持、数据窃取和断网攻击;防御需结合 “静态绑定、交换机配置、工具监控”,企业级场景优先通过交换机的动态 ARP 检测实现自动化防御,普通用户可通过静态绑定 ARP 和终端防护工具降低风险。
本次我们就用两台主机连同一个手机热点模拟arp欺骗
工具:pktbuilder、pktplayer
首先先查看我们的主机的ip和mac地址,这个作为攻击者(为了隐私安全这里我们只对最后两位作比较)
在被攻击者的主机输入指令arp/a,第一个就是网关的mac地址,第二个就是攻击者的mac地址
打开工具pktbuilder,将四个数据改一下
source address:攻击者mac地址
source physics:攻击者mac地址
source ip:网关ip
destination ip:被攻击者ip
然后打开pktplayer,修改如图圆圈那样(adapter要选有包含攻击者ip那一个),然后就可以点击play。
在被攻击者主机重新打开arp就发现攻击者ip与mac地址的映射关系就变了,攻击者的mac地址已经成功伪造成网关的了。
攻击者打开wireshark抓包后,这里我们让被攻击者找个网页随便登一个账号密码,用http.request.method==POST过滤就能抓到账号密码了,这就是arp欺骗的运用。
ps:本次实验都在安全,合法的环境下完成。实施arp欺骗后被攻击者的电脑应该是无法访问外网的,但我这里让攻击者主机提前修改了注册表才得以让被攻击者主机上网。
)