ARP–利用arpspoof和driftnet工具进行arp欺骗

全栈程序员站长

发布于 2022-09-27 10:51:03

3.8K0

发布于 2022-09-27 10:51:03

文章被收录于专栏：全栈程序员必看

大家好，又见面了，我是你们的朋友全栈君。

实验目的：

1.了解ARP欺骗的原理。 2.对ARP欺骗进行进一步的认识并提出防范措施。 3. 掌握熟悉arpspoof和driftnet的使用方法。

任务与要求：

1、利用arpspoof进行ARP断网攻击 2.利用arpspoof工具和driftnet工具进行ARP欺骗

原理：

ARP（Address Resolution Protocol）是地址解析协议，是一种将IP地址转化成物理地址的协议。从IP地址到物理地址的映射有两种方式：表格方式和非表格方式。ARP具体说来就是将网络层（也就是相当于OSI的第三层）地址解析为数据链路层（也就是相当于OSI的第二层）的物理地址(注:此处物理地址并不一定指MAC地址)。某机器A要向主机B发送报文，会查询本地的ARP缓存表，找到B的IP地址对应的MAC地址后，就会进行数据传输。如果未找到，则A广播一个ARP请求报文（携带主机A的IP地址Ia——物理地址Pa），请求IP地址为Ib的主机B回答物理地址Pb。网上所有主机包括B都收到ARP请求，但只有主机B识别自己的IP地址，于是向A主机发回一个ARP响应报文。其中就包含有B的MAC地址，A接收到B的应答后，就会更新本地的ARP缓存。接着使用这个MAC地址发送数据（由网卡附加MAC地址）。因此，本地高速缓存的这个ARP表是本地网络流通的基础，而且这个缓存是动态的。

实验仪器设备（环境条件）：

满足安装vmware 环境Windows Linux系统下的笔记本在一个至少包含两台主机的交换式局域网内调试程序

实验记载：

1、利用arpspoof进行ARP断网攻击 A. 实验说明： *被攻击主机：windows虚拟机，win7系统,其ip地址为192.168.27.129，MAC地址为00-0c-29-14-05-30 *攻击主机：linux虚拟机，kali linux系统，其ip地址为192.168.27.131，MAC地址为00:0c:29:11:a9:25 *网关：ip地址为192.168.27.2,MAC地址为00-50-56-ea-95-48 *攻击工具：kali linux系统下的arpspoof工具 B. 实验步骤: Step 1. 在攻击主机打开终端，输入ip address，查看其网卡名称、ip地址、MAC地址。

图中，eth0为网卡名称，192.168.27.131为ip地址，192.168.27.131为kali机的MAC地址。 Step 2. 在虚拟机中，通过fping命令，查看当前局域网还存在那些主机，以确定要攻击的主机的ip地址

上图中，第一个ip地址192.168.27.2即为当前局域网的网关，而第二个ip地址就是要攻击的win7的ip地址：192.168.27.129,第三个是本机IP地址 Step 3. 在被攻击机中，通过控制面板中的网络和共享中心，查看其的ip地址，验证步骤二是否正确。

从上图中可以看出，win7的ip地址的确为192.168.27.129，其MAC地址为00-0c-29-14-05-30，而局域网的网关地址也确实为192.168.27.2 Step 4. 在kali机中，ping一下要攻击的被攻击机，同时在被攻击机中ping一下kali机。确保两台主机可以通信。

从图中可以看出，没有包丢失，两台主机可以通信。可以进行ARP攻击。 Step 5. 在进行ARP攻击之前，可以先查看一下被攻击主机的ARP缓存表。以便于被攻击后的ARP缓存表进行对照。在被攻击机中，打开cmd，输入：arp -a

图中显示，被攻击机中的ARP缓存表记录了网关的MAC地址和攻击主机的MAC地址，可以看出它们的MAC地址是不一样的。 Step 6. 在攻击之前，检测一下被攻击主机的联网状态，用被攻击主机的cmd，ping一下百度。

图中显示，没有包丢失，说明此时被攻击主机可以上网。 Step 7. 在虚拟机中打开终端，利用arpspoof工具，对物理机发起ARP断网攻击。输入arpspoof -i eth0 -t 192.168.27.129 192.168.27.2。其中，-i后面的参数是网卡名称，-t后面的参数是目的主机和网关，要截获目的主机发往网关的数据包。（注意：此步骤需要kali机上具有arpspoof软件，若不具有则需要通过apt install dsniff进行安装）（需要注意的是安装kali虚拟机时选择正确的版本，如：

安装软件时出现以下情况时注意：

此时检查是否kali源是否未更新：参考： https://blog.csdn.net/gezongbo/article/details/119934697?spm=1001.2014.3001.5506 更改kali源后通过sudo apt update进行更新有以下情况出现：

发现是因为签名过期，此时更改签名即可：详细： https://quantum6.blog.csdn.net/article/details/104975731?spm=1001.2014.3001.5506

可以成功更新：

安装dsniff、arpspoof:

成功执行arpsproof工具：

从图中可以看出，此时kali机不断地向被攻击机发送ARP应答包，这个应答包将网关的ip地址192.168.27.2和kali机的MAC地址00:0c:29:11:a9:25绑定在一起，从而将被攻击机的ARP缓存表中的网关的MAC地址修改为虚拟机的MAC地址。 Step 8. 在物理机中再次使用cmd，向百度发送一个ping包，检查是否可以联网。同时打开网页，进行检查。无法联通外网：

从上面两张图，可以看出，此时被攻击机已经断网了。 Step 9.检查被攻击主机的ARP缓存表，验证其是否被ARP攻击了。

从图中，可以看出，此时被攻击主机的ARP缓存表中的网关和攻击主机的MAC地址是一样的，均为攻击主机的MAC地址。可以认定，被攻击机遭遇了ARP攻击。 Step 10. 关闭虚拟机的终端，再次检查被攻击机的联网状态，ping一下百度。

从图中可以看出，在一会的延迟之后，被攻击机又可以ping通百度了，又可以正常上网了。

2.利用arpspoof工具和driftnet工具进行ARP欺骗（截获图片）

Step1~~Step5同上述一样

Step 6. 在进行ARP欺骗前，得先打开攻击主机的IP转发功能，linux因为系统安全考虑，是不支持IP转发的，其配置文件写在/proc/sys/net/ipv4的ip_forward中。默认为0，接下来修改为1。由于vi修改不被允许，可以通过命令行echo 1 > /proc/sys/net/ipv4/ip_forward实现。

Step 7.在进行ARP欺骗前，先检查被攻击机的联网状态，Ping一下百度。

没有包丢失，可以ping通，被攻击机可以正常上网。 Step 8.在kali linux中利用arpspoof工具，对物理机发起AR欺骗攻击。输入arpspoof -i eth0 -t 192.168.27.129 192.168.27.2。其中，-i后面的参数是网卡名称，-t后面的参数是目的主机和网关，要截获目的主机发往网关的数据包。

从图中可以看出，此时kali机不断地向被攻击机发送ARP应答包，这个应答包将网关的ip地址192.168.27.2和kali机的MAC地址00:0c:29:11:a9:25绑定在一起，从而将被攻击机的ARP缓存表中的网关的MAC地址修改为虚拟机的MAC地址。虚拟机截获了被攻击机和网关之间的数据包。 Step 9.检查物理机的联网状态，Ping一下百度。

没有包丢失，可以ping通，被攻击机依旧可以正常上网。 Step 10.检查被攻击机的ARP缓存表，检查其是否遭遇了ARP欺骗。

从图中，可以看出，此时被攻击主机的ARP缓存表中的网关和攻击主机的MAC地址是一样的，均为攻击主机的MAC地址。可以认定，被攻击机遭遇了ARP欺骗。 Step 11. 此时，被攻击机和网关通信的数据包都会流经虚拟机，那么可以在虚拟机中利用driftnet工具，可以捕获物理机正在浏览的图片。在虚拟机中打开driftnet。注：也许此时在安装driftnet后仍然不能使用其抓捕图片：

此时可以修改相应kali源详细见： Ubuntu libpng12无法安装解决_l_ricardo的博客-CSDN博客_libpng12 同样需要sudo apt-get update 再次根据它的错误提示完整输入： sudo apt-get –fix-broken install (注:本人仅输入apt –fix-broken install在如下图输入yes后仍然报错)