主題名稱

ARP欺騙與MITM（中間人攻擊）實(shí)例

ARP協(xié)議（address resolution protocol）：地址解析協(xié)議

一臺主機(jī)和另一臺主機(jī)通信，要知道目標(biāo)的IP地址，但是在局域網(wǎng)中傳輸數(shù)據(jù)的網(wǎng)卡卻不能直接識別IP地址，所以用ARP解析協(xié)議將IP地址解析成MAC地址。ARP協(xié)議的基本功能就是通過目標(biāo)設(shè)備的IP地址，來查詢目標(biāo)設(shè)備的mac地址。

在局域網(wǎng)的任意一臺主機(jī)中，都有一個ARP緩存表，里面保存本機(jī)已知的此局域網(wǎng)中各主機(jī)和路由器的IP地址和MAC地址的對照關(guān)系。ARP緩存表的生命周期是有時限的（一般不超過20分鐘）。

MITM攻擊實(shí)例：

網(wǎng)絡(luò)拓?fù)洌?br />

網(wǎng)絡(luò)環(huán)境：

無線路由器一臺

型號：Fast FW300R

IP：192.168.1.1

MAC地址：00:5A:39:1A:BB:BE

被攻擊主機(jī)PC 1

系統(tǒng)版本：Windows 10 Enterprise

IP：192.168.1.106

MAC地址：00:5A:39:1A:BB:BE

中間人（攻擊者）主機(jī)PC 0

系統(tǒng)版本：Kali Linux 2.0

IP：192.168.1.113

MAC地址：00:0C:29:03:85:DC

由于實(shí)驗(yàn)條件有限，故中間人主機(jī)PC 0在虛擬機(jī)內(nèi)運(yùn)行。但實(shí)際效果與真實(shí)測試相同。

攻擊測試：

使用Kali Linux中的嗅探工具ettercap-NG對目標(biāo)主機(jī)進(jìn)行ARP欺騙，并截獲明文密碼。

首先打開終端，輸入ettercap -G 啟動ettercap （ettercap要求使用root權(quán)限，使用sudo或者切換到root用戶運(yùn)行）的圖形界面模式，如圖：

打開ettercap-NG 的圖形界面之后點(diǎn)擊"sniff"，選擇"unified sniffing"然后根據(jù)自己的要求選擇要抓包的網(wǎng)卡。

使用NMAP工具查看局域網(wǎng)內(nèi)所有主機(jī)：

根據(jù)返回?cái)?shù)據(jù)可知，我的網(wǎng)關(guān)無線路由器的IP地址為192.168.1.1，MAC地址為：00:5A:39:1A:BB:BE，根據(jù)MAC地址，分析出
深圳Fast科技公司出產(chǎn)。

此外有幾臺蘋果的設(shè)備，是室友的幾部蘋果手機(jī)，此外還有一部Vivo手機(jī)，BBK步步高電子產(chǎn)品出產(chǎn)，還有一臺小米科技出產(chǎn)的小米手機(jī)。此外，還有一臺名為 Hon Hai Precision 的設(shè)備，經(jīng)查原來其名為鴻海精密集團(tuán)，富士康是旗下的公司，應(yīng)該就是我的網(wǎng)卡生產(chǎn)商了。
還有一個提示信息為"Host is up"的主機(jī)即為本次測試的中間人（攻擊者）的主機(jī)。

篩選后，得到信息如下：

返回ettercap，然后單擊Hosts選項(xiàng)，選擇Scan for host，待掃描完成之后再選擇Scan for host，然后選擇Host list，此時可以看到ettercap-NG已經(jīng)掃描的主機(jī)列表，如圖所示：

然后就可以選擇要攻擊的目標(biāo)了，
選擇192.168.1.106的IP地址，點(diǎn)擊Add to Target 1（添加到目標(biāo)1）,然后選擇網(wǎng)關(guān)的IP地址192.168.1.1，點(diǎn)擊Add to Target 2（添加到目標(biāo)2）,可以看到ettercap提示成功加入目標(biāo)，如圖所示：

然后明確攻擊方式，這里采用ARP欺騙的方式，告訴主機(jī)192.168.1.106我（192.168.1.113）才是網(wǎng)關(guān)（192.168.1.1），使得 192.168.1.106的主機(jī)把所有數(shù)據(jù)流量全部發(fā)給我，然后抓包截獲密碼。

明確攻擊方式之后，我們選擇"mitm"—"arp poisoning"— "Sniff remote connections" — "確定"

這時可以看看目標(biāo)主機(jī)的arp地址表，如圖所示，ARP緩存毒化成功。

攻擊之前：

點(diǎn)擊確定攻擊之后：

此時發(fā)現(xiàn)ARP緩存表已經(jīng)毒化成功！

然后在攻擊主機(jī)中選擇"Start" — "Start sniffing" 開始監(jiān)聽。

此時使用Wireshark抓包工具可以發(fā)現(xiàn)，被攻擊主機(jī)的所有流量都是通過攻擊者的主機(jī)發(fā)送出去的，即被攻擊主機(jī)誤認(rèn)為192.168.1.113是它的網(wǎng)關(guān)。

此時便可以實(shí)現(xiàn)很多功能。例如抓包獲取密碼，Cookies欺騙，DNS欺騙，惡意程序替換等等，如通過driftnet過濾嗅探圖片：

ARP攻擊防范：

1、雙向綁定：

一般來說，在小規(guī)模網(wǎng)絡(luò)中，比較推薦使用雙向綁定，也就是在路由器和終端上都進(jìn)行IP-MAC綁定的措施，它可以對ARP欺騙的兩邊，偽造網(wǎng)關(guān)
和截獲數(shù)據(jù)，都具有約束的作用。這是從ARP欺騙原理上進(jìn)行的防范措施，也是最普遍應(yīng)用的辦法。它對付最普通的ARP欺騙是有效的。

2、ARP防火墻：

在一些殺毒軟件中加入了ARP防火墻的功能，它是通過在終端電腦上對網(wǎng)關(guān)進(jìn)行綁定，保證不受網(wǎng)絡(luò)中假網(wǎng)關(guān)的影響，從而保護(hù)自身數(shù)據(jù)不被竊取的措施。ARP防火墻使用范圍很廣，但也會有問題，如，它不能保證綁定的網(wǎng)關(guān)一定是正確的。如果一個網(wǎng)絡(luò)中已經(jīng)發(fā)生了ARP欺騙，有人在偽造網(wǎng)關(guān)，那么，ARP防火墻上來就會綁定這個錯誤的網(wǎng)關(guān)，這是具有極大風(fēng)險的。

3、VLAN和交換機(jī)端口綁定：

通過劃分VLAN和交換機(jī)端口綁定來防范ARP，也是常用的防范方法。做法是細(xì)致地劃分VLAN，減小廣播域的范圍，使ARP在小范圍內(nèi)起作
用，而不至于發(fā)生大面積影響。同時，一些網(wǎng)管交換機(jī)具有MAC地址學(xué)習(xí)的功能，學(xué)習(xí)完成后，再關(guān)閉這個功能，就可以把對應(yīng)的MAC和端口進(jìn)行綁定，避免了病毒利用ARP攻擊篡改自身地址。也就是說，把ARP攻擊中被截獲數(shù)據(jù)的風(fēng)險解除了。