實驗環境爲
- 兩臺運行了NAT的網絡模式的虛擬機 分別爲Kali webIOU
- 在eNSP內進行ARP的攻擊模擬測試
說明:
WebIOU這個虛擬機只用作測試VMnet8的網卡連通性,實驗中Kail纔是僞造ARP表映射的攻擊者
實驗拓撲爲:
Cloud的解釋:
Cloud連接到了本地的VMnet8上,所以運行了NAT模式的虛擬機都可以與eNSP上的PC主機ping通
測試:
PC1->PC2
PC1->Kail
PC1->webIOU
可見,都能相通,因爲連接在同一個交換機上
此時,PC1主機本地就會有arp的映射,爲了後面的實驗,要先刪除這些映射表
攻擊思路:
Kali主機要將PC2的IP地址映射的MAC地址改爲自己
分析:
arp的表的更新在與回覆(迴應),即更改PC2對PC1回包時的MAC地址,將其改爲自己(Kali的MAC地址)
部署:
- 首先需要抓包,來截獲PC1pingPC2的ARP包,獲取其中的PC1的MAC地址,源目IP
- 利用netwox工具包,進行僞造攻擊
具體:
找到reply的ARP數據包
由於是ARP的迴應包,則這裏的Sender是PC2的地址,Target是PC1的地址
從劫持的包可以獲得以下信息:
PC1的IP:192.168.211.100
MAC:54-89-98-DA-6F-0D
PC2的IP:192.168.211.101
MAC:54-89-98-D2-3C-BD
Opcode 爲2
此時查看一下PC1的ARP映射表
接下來進行僞造攻擊
Kali上配置:注意 -f對應的是僞造着的MAC地址
sudo netwox 33 -b 54:89:98:da:6f:0d -e 2 -f 00:0c:29:67:81:38 -g 192.168.211.101 -h 54:89:98:da:6f:0d -i 192.168.211.100
可見:
ARP的迴應包變成了僞造者kali的MAC地址
查看PC1的ARP表,可以明顯的看出,被僞造者更換了MAC地址
此時PC1不能ping通PC2是因爲,Kail的網卡沒有開啓轉發功能
接下來,攻擊者爲了獲得受害主機的通訊數據,即受害主機發送到目標主機的數據包要經過攻擊者主機轉發出去
開啓攻擊者kali的網卡轉發功能
使其立即生效
查看修改情況
測試 此時PC1pingPC2
Kali開啓僞造攻擊,在kali連接的交換機接口抓包,可以發現檢測到了受害主機的通訊數據