ARP協議
地址解析協議,即ARP(Address Resolution Protocol),是根據IP地址獲取物理地址的一個TCP/IP協議。主機發送信息時將包含目標IP地址的ARP請求廣播到網絡上的所有主機,並接收返回消息,以此確定目標的物理地址;收到返回消息後將該IP地址和物理地址存入本機ARP緩存中並保留一定時間,下次請求時直接查詢ARP緩存以節約資源。地址解析協議是建立在網絡中各個主機互相信任的基礎上的,網絡上的主機可以自主發送ARP應答消息,其他主機收到應答報文時不會檢測該報文的真實性就會將其記入本機ARP緩存;由此攻擊者就可以向某一主機發送僞ARP應答報文,使其發送的信息無法到達預期的主機或到達錯誤的主機,這就構成了一個ARP欺騙。ARP命令可用於查詢本機ARP緩存中IP地址和MAC地址的對應關係、添加或刪除靜態對應關係等。相關協議有RARP、代理ARP。NDP用於在IPv6中代替地址解析協議。
ARP欺騙原理
ARP欺騙的運作原理是由攻擊者發送假的ARP數據包到網絡上,尤其是送到網關上。其目的是要讓送至特定的IP地址的流量被錯誤送到攻擊者所取代的地方。因此攻擊者可將這些流量另行轉送到真正的閘道(被動式數據包嗅探,passive sniffing)或是篡改後再轉送(中間人攻擊,man-in-the-middle attack)。攻擊者亦可將ARP數據包導到不存在的MAC地址以達到阻斷服務攻擊的效果,例如netcut軟件。
例如某一網絡閘道的IP地址是192.168.0.254,其MAC地址爲00-11-22-33-44-55,網絡上的電腦內ARP表會有這一筆ARP記錄。攻擊者發動攻擊時,會大量發出已將192.168.0.254的MAC地址篡改爲00-55-44-33-22-11的ARP數據包。那麼網絡上的電腦若將此僞造的ARP寫入自身的ARP表後,電腦若要通過網絡閘道連到其他電腦時,數據包將被導到00-55-44-33-22-11這個MAC地址,因此攻擊者可從此MAC地址截收到數據包,可篡改後再送回真正的閘道,或是什麼也不做,讓網絡無法連接。
中間人攻擊
在密碼學和計算機安全領域中,中間人攻擊 ( Man-in-the-middle attack,通常縮寫爲MITM )是指攻擊者與通訊的兩端分別創建獨立的聯繫,並交換其所收到的數據,使通訊的兩端認爲他們正在通過一個私密的連接與對方直接對話,但事實上整個會話都被攻擊者完全控制。在中間人攻擊中,攻擊者可以攔截通訊雙方的通話並插入新的內容。在許多情況下這是很簡單的(例如,在一個未加密的Wi-Fi 無線接入點的接受範圍內的中間人攻擊者,可以將自己作爲一箇中間人插入這個網絡)。
一箇中間人攻擊能成功的前提條件是攻擊者能將自己僞裝成每一個參與會話的終端,並且不被其他終端識破。中間人攻擊是一個(缺乏) 相互認證的攻擊。大多數的加密協議都專門加入了一些特殊的認證方法以阻止中間人攻擊。例如,SSL協議可以驗證參與通訊的一方或雙方使用的證書是否是由權威的受信任的數字證書認證機構頒發,並且能執行雙向身份認證。
Ettercap
ettercap是LINUX下一個強大的欺騙工具,當然WINDOWS也能用,你能夠用飛一般的速度創建和發送僞造的包.讓你發送從網絡適配 器到應用軟件各種級別的包.綁定監聽數據到一個本地端口:從一個客戶端連接到這個端口並且能夠爲不知道的協議解碼或者把數據插進去(只有在arp爲基礎模 式裏才能用)
ettercap使用方法,參數詳解:
-P 使用插件
-T 使用基於文本界面
-q 啓動安靜模式(不回顯)
-M 啓動ARP欺騙攻擊
// // 代表欺騙的子網網絡,如果網絡中有多個主機的話,可以在第一個//中加上目標主機,第二個//中加上網關路由ip。
此外我們可以綜合這些參數使用:
ettercap –T –q –M arp:remote /192.168.1.101/ //
Ettercap默認就會過濾密碼,我們也不需要指定過濾腳本
Driftnet
Driftnet是一款數據嗅探軟件,它感興趣的內容可能和你一樣:別人正在查看的圖片、視頻、音頻……意味着,你可以通過Driftnet,將你電腦所處的網絡廣播域中所有人未經加密傳輸的圖像一一顯示出來,特別在無線WiFi網絡中。Driftnet是一個Unix/Linux程序,他包含在如Ubuntu等的Linux發行版中,可以通過以下命令輕鬆獲得。由於是直接操控硬件,運行它需要管理員權限;
sudo apt-get install driftnet
Driftnet提供了一些參數,可以指定嗅探到的圖片等的保存位置,顯示方式……通過-h查看。
編譯Driftnet也很輕鬆,在作者主頁下載driftnet-0.1.6.tar.gz,運行make即可,代碼包中甚至沒有autoconf的腳本,makefile裏面可能有些不正確,比如gtk-config已經不存在現在的gtk包中,換之的是pkg-config。
Driftnet並不支持Windows,作者說:If you want a Microsoft Windows version, well, go ahead and write one-- the libraries you need support Microsoft Windows too. 再者,Driftnet被認爲是elaborate plot to undermine civilisation(文明毀滅者),並不希望被太多人使用。
實驗說明:
攻擊機地址:192.168.1.161
靶機地址:192.168.1.162
網關地址:192.168.1.1
1、打開winxp虛擬機並輸入ipconfig命令查看靶機ip地址;
2、打開kali linux虛擬機,並輸入ifconfig命令查看攻擊機ip地址;
3、在kali linux虛擬機裏使用ettercap工具對靶機進行arp欺騙,命令如下圖所示;
4、在kali linux虛擬機裏用driftnet工具查看靶機上正在瀏覽的圖片;
5、在靶機winxp虛擬機裏打開百度,並搜索有關hacker的圖片;
6、此時在kali linux的driftnet框裏會顯示出靶機正在預覽的圖片;
