arp欺骗进行流量截获-1

简介: 这边博文主要讲一下怎么使用arp欺骗进行流量截获,主要用于已经攻入内网以后,进行流量监听以及修改。 一、什么是arp     arp协议是以太网的基础工作协议,其主要作用是是一种将IP地址转化成物理地址的协议,在以太网上进行通信的时候并不直接使用ip地址作为主机标识,而是使用MAC地址,也就是物理地址。

这边博文主要讲一下怎么使用arp欺骗进行流量截获,主要用于已经攻入内网以后,进行流量监听以及修改。

一、什么是arp

    arp协议是以太网的基础工作协议,其主要作用是是一种将IP地址转化成物理地址的协议,在以太网上进行通信的时候并不直接使用ip地址作为主机标识,而是使用MAC地址,也就是物理地址。

    某机器A要向主机B发送报文,会查询本地的ARP缓存表,找到B的IP地址对应的MAC地址后,就会进行数据传输。如果未找到,则A广播一个ARP请求报文(携带主机A的IP地址Ia——物理地址Pa),请求IP地址为Ib的主机B回答物理地址Pb。网上所有主机包括B都收到ARP请求,但只有主机B识别自己的IP地址,于是向A主机发回一个ARP响应报文。其中就包含有B的MAC地址,A接收到B的应答后,就会更新本地的ARP缓存。接着使用这个MAC地址发送数据(由网卡附加MAC地址)。因此,本地高速缓存的这个ARP表是本地网络流通的基础,而且这个缓存是动态的。

    本地的arp缓存可以通过arp –a命令查看。

二、arp欺骗的工作原理

    假定C想监听A和B之间的通信,那么第一步就是C告诉A,我是B;同时高速B,我是A,这样A和B都会把发给对方的数据发送到C这里。

第二步C对收到的数据进行处理,然后再转发给真正的接收者。

    基本原理非常简单,就上面两句话,但是怎么做到的呢?我稍微详细说一下。

    第一步MAC 地址误导

    C怎么欺骗A,告诉他我才是B呢?

    这就是利用了ARP协议的一个标准请求,大家想一下,如果B想要给A发送数据的时候,如果他不知道A的MAC地址,就会在以太网(可以认为是这个局域网)广播一下,我是B,谁知道A的MAC地址是什么?为什么C不可以伪造这个过程呢?如果C伪造一个请求,在请求里面把IP地址下成B的,但是这个IP地址对应的MAC地址写成C自己的,那么A收到以后自然就会认为B的MAC地址是MAC C了。

    不过这样做有一个问题就是,网络上所有的主机都会形成这种错误认识,这个显然是不行的,因为我就想监听A和B之间的通信,不想监听A和所有主机的通信啊,那么怎么办呢?

    其实也很简单,就是一个小技巧,正常的ARP请求包中,因为不知道对方的MAC地址是什么,所以目的MAC填写的是广播地址FF:FF:FF:FF:FF:FF,这也就导致了所有的人都收的到,因为我们知道A的真实MAC地址是MAC A,所以在以太网帧中的目的MAC填写上MAC A,这样其他主机就会忽略该ARP请求,也就不会干扰其他主机的正常通信。

    同理,C也可以这样欺骗B,告诉它其实A的MAC地址是MAC C。

    第二步 进行包转发

    A和B发给对方的数据包都发到了C这里,那么肯定就不能正常通信,这样A和B就无法进行正常通信了,自然也就没必要进行监听了。

    所有C在收到包以后就必须进行转发,比如收到A发送给B的包以后,再将目的MAC地址修改为B真正的MAC B,然后再发送出去,这样B才能收到。同理对于B给A的数据包也一样。

    这里其实还有一个问题就是我们怎么判断这个数据包是A发送给B的呢?这个可以通过IP头中的目的IP是B和源IP是A来判断。那么会不会出现是A发送给B,但是目的IP不是B的这种情况呢?基本上只有一种例外情况,就是B是网关,那么A发送到外网的IP数据包都要发送到B,但是目的IP却可能是任意IP,不过这个IP地址却一定不是本局域网的IP。

    因此后一种情况可以通过指明B是网关,想监听A的一切外网访问来识别。

 

目录
相关文章
|
10月前
|
网络协议 Linux
网络协议与攻击模拟-04-实施ARP攻击与欺骗
网络协议与攻击模拟-04-实施ARP攻击与欺骗
81 1
网络协议与攻击模拟-04-实施ARP攻击与欺骗
|
1月前
|
存储 缓存 网络协议
ARP欺骗与攻击原理
ARP欺骗与攻击原理
50 0
|
2月前
|
网络协议 Python
Kali-Linux 使用evillimiter,利用arp欺骗,限制上网速度
该功能可以限制同一局域网下其他主机的网速
|
8月前
|
域名解析 缓存 网络协议
探索网络攻击:ARP断网、ARP欺骗和DNS欺骗实验解析
在这篇博客中,我介绍了ARP断网、ARP欺骗和DNS欺骗这几种常见的网络攻击方式。然而,需要明确的是,这些实验仅仅是出于教育和研究目的,并且应以合法和道德的方式进行。
519 0
|
10月前
|
网络协议 Linux 网络安全
Kali Linux中的ARP欺骗攻击如何进行
Kali Linux中的ARP欺骗攻击如何进行
259 0
|
11月前
|
缓存 监控 网络协议
防御ARP攻击和ARP欺骗并查找攻击主机
防御ARP攻击和ARP欺骗并查找攻击主机
403 0
|
11月前
|
监控 网络协议 安全
分析ARP攻击与欺骗
分析ARP攻击与欺骗
190 0
|
缓存 网络协议 安全
ARP攻击和欺骗原理讲解
ARP攻击和欺骗原理讲解
233 0
|
网络协议 Python Windows
Python 实现ARP扫描与欺骗
ARP欺骗又称ARP毒化或ARP攻击,是针对以太网地址解析协议ARP的一种攻击技术,通过欺骗局域网内访问者PC的网关MAC地址,使访问者PC错以为攻击者更改后的MAC地址是网关的MAC,导致网络不通。此种攻击可让攻击者获取局域网上的数据包甚至可篡改数据包,且可让网络上特定计算机或所有计算机无法正常连线。
428 0
Python 实现ARP扫描与欺骗
|
缓存 网络协议 网络虚拟化
ARP广播寻址风险,ARP欺骗
ARP广播寻址风险,ARP欺骗
113 0