ARP毒化攻击
什么是ARP协议?
根据计算机网络OSI七层参考模型,ARP属于第二层,数据链路层,携带计算机网卡的MAC地址。两台主机之间的通信必须知道对方的MAC地址才能进行通信,但是在只知道IP地址的情况下没有MAC地址如何进行通信呢?这时候就是ARP地址解析协议发挥作用的时候了。但是ARP是如何从IP地址解析到MAC地址的呢?
打个比方:一个教室里每个同学的名字当作是IP地址,每个人自己的特征是MAC地址,这时候你知道一个人的名字,但你不知道他是谁,这时候你就可以跑到他们教室大喊,谁叫XXX?这时候叫这个XXX的就会回答我是XXX,然后你就记住了他的长相,下次你要找他你就会直接过去而不会大喊。
ARP报文格式
1、硬件类型:表示在那种网络协议上进行的,比如我们现在用的是以太网
2、协议类型:表示上层协议接收的协议类型,一般是OSI第三层IP协议,0800
3、硬件地址长度:以字节为单位,这里是6
4、协议长度:以字节为单位,这里是IP协议,IP地址32位,这里是4
5、1表示请求,2表示应答
6、发送方硬件地址6字节
7、发送发ip地址4字节
8、目标硬件地址6字节,起初广播的时候记录全1
9、目标ip地址4字节,起初广播的时候也是全部记录1
wireshark抓包分析
用vmware演示,两台都是win7,其中一台装有wireshark和cain,cain是一种arp毒化工具,首先用cain发起arp广播:
上图是ARP广播请求,192.168.120.2是网关地址,下面是请求报文。
上图ARP请求应答报文,192.168.120.128是我们准备攻击的地址。
ARP毒化攻击
计算机中有动态ARP解析表和静态ARP解析表,如果我们配置了静态ARP解析表,则默认优先走静态ARP解析表。讲解一下ARP毒化攻击的攻击思路:
1、劫持被攻击主机的网关,因为主机所有的外网访问第一跳地址都是网关,所以可以劫持所有的网络请求。
2、用cain对主机进行毒化,对拦截的信息进行分析。
下面先上一张毒化前的ARP表:
下面192.168.120.130主机用cain将192.168.120.128的网关地址解析成自己的。
毒化后在看看192.168.120.128的主机ARP表信息:
在上一张192.168.120.130主机的arp表结构。
可以看出被毒化后的192.168.120.128的网关地址192.168.120.2变成了192.168.120.130的MAC地址,也就是以后所以192.168.120.128的信息都会从我192.168.120.130这里路过,这样我就可以截获所以的网络通信信息。
信息拦截
这里简单的进行一个登陆百度账号为例:
192.168.120.128 去进行百度账号的登陆被拦截用户名密码,不过这里密码是经过加密的:
最后提醒大家本文只是作为渗透学习使用,不要想着干坏事,这是违法的。