wireshark网络安全分析——ARP欺骗攻击

时间:2024-03-19 22:34:52

目录

1. 中间人攻击

2. ARP欺骗

ARP欺骗过程分析


 

ARP协议可参考:https://blog.csdn.net/qq_35733751/article/details/80012359

 

1. 中间人攻击

中间人攻击(Man-in-the-MiddleAttack)简称为MITM攻击,是一种比较常见的网络攻击方式,想要实施中间人攻击至少需要三个角色,其过程如下图所示:

wireshark网络安全分析——ARP欺骗攻击

所谓中间人攻击就是Client1和Client2在进行正常的网络通信时,Hacker实施中间人攻击监听Client1和Client2的通信,在这个过程中Hacker作为中间人会处理转发它们的数据信息,也就是说Client1和Client2之间依然可以正常通信,并且它们也不会发现通信过程中多了一个人。Client1以为自己是和Client2之间通信,然而实际上多了一个Hacker正在默默的监听Client1和Client2之间通信。

 

 

2. ARP欺骗

ARP欺骗就是一种典型的中间人攻击方式 ,它利用了ARP协议的缺点:没有任何认证机制。当一台主机收到一个发送方ip地址为192.168.111.139的ARP请求包时,该主机并不会对这个数据包做任何判断真伪校验,无论这个数据包是否真的来自192.168.111.139,它都会将其添加到ARP缓存表中,Hacker正是利用了这一点来冒充网关等主机。

 

以ping命令为例,139和140两台主机进行通信时:

wireshark网络安全分析——ARP欺骗攻击

 

 

139和140进行通信时会先在ARP缓存表查找140对应的ARP表项(即192.168.111.140对应的mac地址),如果没有找到则会发送ARP请求。 ip为192.168.111.139的主机首先会以广播方式发送一个ARP请求包获取192.168.111.140主机的mac地址,其内容为who has 192.168.111.140? Tell 192.168.111.139。

wireshark网络安全分析——ARP欺骗攻击

 

 

当ip为192.168.111.140的主机收到这个ARP请求包并不会做任何的真伪校验,而是直接回复一个ARP响应包把自己的mac地址告诉对方。

wireshark网络安全分析——ARP欺骗攻击

 

 

无论这个ARP请求包是否真的来自ip为192.168.111.139的主机,140都会把192.168.111.139对应的mac地址表项添加到自己的ARP缓存表中(ARP欺骗正是利用了这一缺点进行的网络攻击):

wireshark网络安全分析——ARP欺骗攻击

ARP缓存表中192.168.111.2是网关的ip地址,00-50-56-ea-03-a7是网关的mac地址。

 

 

3. ARP欺骗过程分析

在VMware中分别创建两台主机,实验环境:

1. Kali linux主机充当hacker进行安全测试,ip地址为192.168.111.139

wireshark网络安全分析——ARP欺骗攻击

 

2. Windows7是进行安全测试的目标主机,ip地址为192.168.111.140

wireshark网络安全分析——ARP欺骗攻击

 

 

搭建完环境后,在kali中进行安全测试并开启路由转发功能:

wireshark网络安全分析——ARP欺骗攻击

 

 

通过arpspoof工具进行ARP欺骗安全测试:

wireshark网络安全分析——ARP欺骗攻击

-i选项用于指定网卡,-t选项用于指定欺骗的目标主机ip和网关ip,当执行以上命令后arpspoof工具就会不断地发送伪造的ARP包对目标主机进行ARP欺骗。

 

 

在Kali linux主机上进行wireshark抓包,分析ARP欺骗攻击的过程:

wireshark网络安全分析——ARP欺骗攻击

在wireshark抓包中,ARP响应包中Sender MAC address字段里封装的MAC地址不是网关192.168.111.2的mac地址,而是kali linux主机的MAC地址,也就是说这个ARP响应包实际上是伪造的

 

 

然后再查看被攻击的目标主机ARP缓存表:

wireshark网络安全分析——ARP欺骗攻击

在前面的实验环境中我们知道192.168.111.2网关对应的mac地址是00-50-56-ea-03-a7,当kali linux主机进行ARP欺骗后,在ARP缓存表中网关对应的mac地址变成了00-0c-29-03-25-67,但这个mac地址实际上是kali linux主机的mac地址,通过这一点我们知道目标主机收到这个ARP响应包并没有做任何的判断,而是直接接收数据包,包括在wireshark抓包工具中也间接证明了ARP协议的一重大缺点:ARP协议缺少对数据包的判断校验安全机制,hacker也就可能利用这个漏洞来冒充网关