基于KALI_ARPspoof的ARP Poisoning攻击及其防护

目录

ARP攻击类型：

        ARP攻击

        ARP主机/网关欺骗（中间人攻击）

ARPspoof介绍

攻击实施：

    断网攻击

       单点断网攻击：     

       网关断网攻击：

   ARP中间人攻击

攻击防护

ARP攻击类型：

        ARP攻击

        攻击原理：向目标主机伪造虚假网关MAC地址，目标主机发送报文到虚假网关MAC地址或攻击者MAC地址（默认不转发），使报文无法发送到网关路由器实现转发实现断网。

        ARP主机/网关欺骗（中间人攻击）

        攻击原理：接上，向目标主机发送ARP报文网关MAC地址宣告到攻击者MAC地址，并开启报文转发，此时攻击者可以抓取到目标主机所有报文流量，且目标主机无感知实现流量劫持。

ARPspoof介绍

arpspoof 是 dsniff 工具集（网络嗅探与劫持工具）中的 ARP 欺骗工具，其核心参数及用法如下：

• 基本参数

-i [interface]（必需）指定网卡接口名称，如eth0

-t [target] 指定目标主机，支持IP地址或主机名

• 欺骗模式

-r 启用双向欺骗（同时欺骗目标主机和网关），无需额外指定网关

-c [own|host|both] 选择MAC地址欺骗方式：

  own：发送攻击者MAC（默认）

  host：发送目标真实MAC

  both：同时发送攻击者和目标真实MAC

• 高级选项

-s [source] 自定义ARP包源IP（默认为本机IP，可伪造）

-f 强制发送ARP响应包（即使目标未缓存）

-n 禁用反向ARP解析（不显示MAC地址）

-d 启用调试模式（显示详细运行日志）

攻击实施：

    断网攻击

       主机断网攻击：     

                        kali：192.168.10.9

                        靶机：192.168.10.143  

//对192.168.10.9 ==> 192.168.10.143 的单向宣告攻击机MAC地址
arpspoof -i eth0 -t 192.168.10.9  192.168.10.143

       网关断网攻击：

                        kali：192.168.10.9

                        网关：192.168.10.1

arpspoof -i eth0 -t 192.168.10.9 192.168.10.1//关闭报文转发（默认关闭）
echo 0 > /proc/sys/net/ipv4/ip_forward  

   ARP中间人攻击

arpspoof -i eth0 -t 192.168.10.9 192.168.10.1//开启报文转发（默认不转发）
echo 1 > /proc/sys/net/ipv4/ip_forward

访问比如说我们搭建的常用靶场DVWA，抓包工具抓包:

查询：

ip.src==192.168.10.9 && ip.dst==192.168.10.143 and http

主要看POST方法我们有无抓到传输的用户登录信息，

这里也可以拿到用户的登录信息，而被劫持者无感知。

攻击防护

根据ARP攻击原理，针对ARP攻击防护的手段有：

路由器/防火墙层面：

        配置静态的ARP绑定；

        路由器/防火墙开启ARP防护，检测并阻断伪造的ARP报文包；

        设置ARP表老化时间，定期刷新合法条目；

交换机层面：

        开启ARP Detection        

        划分vlan隔离广播域，缩小受攻击范围。 

        启用ADI（动态ARP检测），结合DHCP snooping，验证ARP包IP-MAC的合法性，丢弃伪造包。

主机层面：

        配置网关静态mac地址表

        利用终端安全桌管软件实施ARP防护如火绒，

*经过对此对靶机的ARP攻击发现。ARP断网攻击不是绝对的，ping靶机地址时断时续，

靶机网站也可以访问，不过开启流量转发无感知流量劫持还是奏效的。