ARP攻擊:
首先,ARP是怎麼工作的呢?
當發送端知道接收端的IP位址,需請求其MAC位址時,發送端會廣播發送ARP Request包,非目标主機直接丢棄資料包,目标主機會記錄發送端的IP位址和MAC位址放入ARP緩存衆,并進行響應發送ARP Reply包,發送端接收後記錄IP位址與MAC位址,雙方建立通信。
ARP攻擊主要目的就是使網絡無法正常通信,就是通過僞造IP位址和MAC位址實作ARP欺騙。
如下圖:
- 當PC1在請求PC2的MAC位址時,會廣播發送Arp Request請求包;
- 如果我是PC3想攻擊PC1,在收到PC1的Arp請求包的時候,我接收,同時回應一個虛假的回應包,告訴PC1我就是PC2。
- 然後PC1就會收到2條說自己是PC1的回應包,但是PC1并不知道到底哪個是真的,是以PC1會做出判斷,并且判斷後到達的為真,那麼怎麼讓虛假的回應包後到達呢?
- PC3可以連續不斷的發送這樣的回應包,總會把哪個正确的回應包覆寫掉,然後加入ARP緩存裡面去。接下來PC1發送資料給PC1的時候資料包就會發送到PC3那裡去,實作了ARP攻擊。
如下圖:
方式有兩種ARP欺騙,第一種是冒充主機,第二種是冒充網關,現在普遍都是雙向欺騙的,就是欺騙PC1我是網關,欺騙網關我是PC1,實際上我并不是。
如何實作讓PC1不能上網?
首先以上圖為例,我們假設PC1的IP位址為192.168.1.1,網關的IP位址為192.168.1.254,欺騙者的IP位址為192.168.1.2
- 若PC1要上網,尋找網關MAC,發送廣播ARP Request,非目标主機(欺騙者)收到廣播包後,接收,并通過不斷發送ARP應答(欺騙資料包)給發送端(PC1),告訴PC1,我(欺騙者)就是網關,192.168.1.254就是我!!!是以每次PC1要去往網關的時候資料都去了我這裡。
- 我還會給網關發送一個ARP應答包,告訴網關,192.168.1.1的位址是指向我的,你隻要将發送給這個位址的資料包都發給我就可以了!于是,網關就會更新自己的ARP緩存,将去PC1的資料包都發給我。
那麼PC1就無法到達網關,網關也無法到達PC1,欺騙者将中間的通信路線給截斷了,PC1當然就無法上網了,都找不到網關了,怎麼上網?
例:使用P2P終結者對區域網路内的PC機(192.168.1.37)進行ARP攻擊
(1)可知圖網關位址192.168.1.1正确MAC位址14-14……;
(2)使用P2P軟體設定規則,限制上網後;
由圖可知去往網關的MAC位址被切換,實作了ARP欺騙,通路網站失敗,因為網關那邊是錯的。