ARP欺骗 · 白帽与安全

# ARP欺骗中间人攻击 arp欺骗是很古老的渗透手段，主要起着信息收集的作用，比如你可以利用欺骗获取对方的流量，从流量分析你认为重要的信息，例如某某账号密码。是针对以太网地址解析协议（ARP）的一种攻击技术，通过欺骗局域网内访问者PC的网关MAC地址，使访问者PC错以为攻击者更改后的MAC地址是网关的MAC，导致网络不通。此种攻击可让攻击者获取局域网上的数据包甚至可篡改数据包，且可让网络上特定计算机或所有计算机无法正常连线。 ## ARP协议基础 ### 什么是ARP协议？ ARP（Address Resolution Protocol，地址解析协议）是一个位于TCP/IP协议栈中的网络层，负责将某个IP地址解析成对应的MAC地址。在以太网中，一个主机要和另一个主机进行直接通信，必须要知道目标主机的MAC地址。然而MAC地址是网卡的硬件地址，一般出厂后就具有唯一性。ARP协议就是将目标IP地址解析成MAC地址进行验证通信。 ### ARP欺骗的正当用途 ARP欺骗亦有正当用途。其一是在一个需要登录的网络中，让未登录的计算机将其浏览网页强制转向到登录页面，以便登录后才可使用网上。另外有些设有备援机制的网上设备或服务器，亦需要利用ARP欺骗以在设备出现故障时将讯务导到备用的设备上。 ### ARP欺骗的危害 ARP欺骗可以造成内部网络的混乱，让某些被欺骗的计算机无法正常访问内外网，让网关无法和客户端正常通信，也可以截取全网络数据包等。实际上他的危害还不仅仅如此，一般来说IP地址的冲突我们可以通过多种方法和手段来避免，而ARP协议工作在更低层，隐蔽性更高。系统并不会判断ARP缓存的正确与否，无法像IP地址冲突那样给出提示。 ### ARP欺骗的原理 ARP欺骗的运作原理是由攻击者发送假的ARP数据包到网上，尤其是送到网关上。其目的是要让送至特定的IP地址的流量被错误送到攻击者所取代的地方。因此攻击者可将这些流量另行转送到真正的网关或是篡改后再转送。攻击者亦可将ARP数据包导到不存在的MAC地址以达到阻断服务攻击的效果，例如netcut软件。 **简单案例分析：** 这里用一个最简单的案例来说明ARP欺骗的核心步骤。假设在一个LAN里，只有三台主机A、B、C，且C是攻击者。 1. 攻击者聆听局域网上的MAC地址。它只要收到两台主机洪泛的ARP Request，就可以进行欺骗活动。 2. 主机A、B都洪泛了ARP Request.攻击者现在有了两台主机的IP、MAC地址，开始攻击。 3. 攻击者发送一个ARP Reply给主机B，把此包protocol header里的sender IP设为A的IP地址，sender mac设为攻击者自己的MAC地址。 4. 主机B收到ARP Reply后，更新它的ARP表，把主机A的MAC地址（IP_A, MAC_A）改为（IP_A, MAC_C）。 5. 当主机B要发送数据包给主机A时，它根据ARP表来封装数据包的Link报头，把目的MAC地址设为MAC_C，而非MAC_A。 6. 当交换机收到B发送给A的数据包时，根据此包的目的MAC地址（MAC_C）而把数据包转发给攻击者C。 7. 攻击者收到数据包后，可以把它存起来后再发送给A，达到偷听效果。攻击者也可以篡改数据后才发送数据包给A，造成伤害。 ## Arp攻击 ### 常用arp攻击工具 1. Anti windows工具，能禁止主机上网，造成IP冲突等 2. arpsniffer windows下的命令行工具 3. zxarps windows下的命令行工具 4. Cain window下的工具，可欺骗https，盗取账号密码 ### 实验一：anti 让主机无法上网、限速等禁止主机上网，原理是更改了网关mac地址为随机主机IP地址冲突，原理是把攻击者的mac地址加入了arp表中 ### 实验二：arpsniffer 单向攻击 ``` arpsniffer 192.168.1.1 192.168.1.100 80,3389 log.txt # 第一个参数为网关地址，192.168.1.1， # 第二个参数为要欺骗的IP地址， IP为：192.168.1.100， # 第三个参数为要截取数据的端口号：80（可以多个端口用逗号间隔）， # 第四个参数是要把捕获的数据保存到指定的文件：log.txt ``` 工具在win10以下系统版本可以运行 ### 实验三:zxarps实现双向截取数据，并修改网页内容 ``` zxarps.exe -idx 0 -ip 192.168.1.102 -p 80 -insert “<script>alert(“1111”)</script>” ``` 现在只要IP为192.168.1.102的计算机用户访问协议为http的网页，页面中都会弹出一条消息, ARP欺骗可以实现局域网挂广告，盗取明文密码，偷偷刷weibo粉丝，查看别人的聊天记录等，获取局域网的微信号，qq号等，毕竟可以插入JavaScript代码了原理是把被攻击机的arp缓存表中的网关mac地址改变成攻击者的mac地址，所以被攻击机接受发出的数据包都可以被我们修改，我们在返回的数据包中插入就可以了 zxarps还有其他的使用方式，比如捕获用户的网页请求数据和接收数据，截取IP为192.168.1.107和192.168.1.105的所有网页请求并保存起来，构造如下的命令行： ``` zxarps -idx 0 -ip 192.168.1.107,192.168.1.105 -p 80 -save_a log.txt ``` ### 实验四：Cain用户密码盗取 Cain,高版本为英文版本,支持http、https监听,低版本只支持http 1. 配置-->选定网卡-->http表如果要监听网站的一些服务的账号密码的话，需要在这里添加相对应的字段 2. 开始嗅探嗅探这里，右键扫描一下内网点左下角arp，删除默认的，加号左边选择网关地址右边选择被攻击IP 3. 开始测试 ### 实验五：Cain实现dns欺骗可以让受害者在访问一个页面的时候跳转到攻击者的钓鱼网站上同样是cain，利用嗅探器中arp-dns功能填写请求的DNS名称为受害者想访问的地址重写在响应包里的IP地址，为攻击者想让受害者访问的域名解析到的IP地址 ## ARP安全防范最理想的防制方法是网上内的每台计算机的ARP一律改用静态的方式，不过这在大型的网上是不可行的，因为需要经常更新每台计算机的ARP表。 1、不要随意登录免费的WIFI，没人知道免费的WIFI是不是有恶意的攻击者在搞鬼； 2、使用ARP绑定，避免被ARP欺骗； 3、开启电脑管家或者360安全卫士的ARP防火墙或金山贝壳或彩影ARP防火墙； 4、使用https协议或者其他有保密协议的连接访问外网，避免被坑。 5、手工静态绑定这几个方法无法彻底隔绝，硬件厂商两个硬件防御方法参考 1. 华为：需要购买设备 https://wenku.baidu.com/view/55efed86f71fb7360b4c2e3f5727a5e9856a27cd.html 攻击者的电脑要接入内网首先要通过一个交换机验证，如果验证成功，设备通过获取的MAC-ip进行就地绑定之后认证服务器会实时监控，发现伪造及时替换 2. 神州：建议直接在交换路由 https://wenku.baidu.com/view/89772efb7e192279168884868762caaedd33bade.html 手工绑定、同时可以设置防网段扫描 Anti-ARP Scan、DHCP Snooping自动绑定