如何用ARP欺骗来嗅探主机流量
如何用ARP欺騙來嗅探主機流量
發(fā)現(xiàn)這個是第四節(jié)的,囧,改改名字~ARP攻擊,其實原理非常簡單。
根據(jù)局域網(wǎng)內地址尋址的弱點,我們偽造一個錯誤地址映射的ARP包,就可以誘導被攻擊者將數(shù)據(jù)包先發(fā)送給攻擊者,攻擊者再轉發(fā)出去,發(fā)給被攻擊者的數(shù)據(jù)包,也先發(fā)到攻擊者,然后攻擊者再轉發(fā)給被攻擊者,這樣,攻擊者就充當中間人(MAN-IN-THE-MIDDLE),一個類似代理的主機,就能夠嗅探到被攻擊者的流量。
?
以下是“純手工”地進行一次局域網(wǎng)內ARP攻擊案例:
?
其中:
??????????? ??????????????MAC地址????????????????? ???????? ??? IP地址??????????????????? ?? ?????? ?網(wǎng)關地址
?????A用戶:??? 000C29EA3EAA?????????????????? 192.168.20.131?????? ???? ??? 192.168.20.254
?????B用戶:??? 000C29EA3EBB?????????????????? 192.168.20.132??????????????? 192.168.20.254
?????C用戶:??? 000C29EA3ECC?????????????????? 192.168.20.133??????????????? 192.168.20.254
?????網(wǎng)關:??? ?? 002719A3FB70???????????????? ?? 192.168.20.254
?
正常情況,A用戶需要訪問外網(wǎng),則需要發(fā)信息通過網(wǎng)關,網(wǎng)關再路由數(shù)據(jù)包,以此來使用正常的網(wǎng)絡服務。現(xiàn)在C用戶為攻擊者,對A用戶進行ARP攻擊,導致用戶A訪問外網(wǎng)的數(shù)據(jù)包先發(fā)送到用戶C,用戶C再將此數(shù)據(jù)包轉發(fā)給網(wǎng)關,網(wǎng)關也會將理應發(fā)送給用戶A的數(shù)據(jù)包先發(fā)送給用戶C,用戶C再將數(shù)據(jù)包發(fā)回給用戶A,這樣用戶C就能在A用戶毫不察覺的情況下獲取到用戶A的上網(wǎng)數(shù)據(jù)了。
?
1.攻擊者的電腦里先修改注冊表的HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Tcpip\Parameters:
?? Name:IPEnableRouter
?? Type:REG_DWORD
?? Value:0x01
目的是啟用路由轉發(fā)功能,以便在隨后的ARP欺騙中本機充當MAN-IN-THE-MIDDLE(中間人)
?
2.安裝sniffer(嗅探器)軟件,這個是一個很強大的商業(yè)網(wǎng)絡分析軟件,便于抓包和攻擊。
?
3.首先設定一下捕獲數(shù)據(jù)包的過濾器,我們需要ARP應答包來欺騙A用戶,所以暫時只需要ARP數(shù)據(jù)包。
?
4.還沒有A用戶和網(wǎng)關的ARP信息,如何獲取?最簡單的辦法就是PING一下,這樣就會觸發(fā)兩臺電腦交換ARP信息,同時sniffer也能抓取到我們需要的ARP包。
?
5.好了,查看sniffer,選擇decode(解碼)界面,發(fā)現(xiàn)獲取了不少ARP的請求包和應答包,嘿嘿,干壞事的時間到了,隨便選擇一個ARP應答包,在下面16進制的數(shù)字中點右鍵選edit,開始修改……
?
?
6.彈出來是一個這樣內容的窗口,這時候我們要理清思路了。
首先紅色的是二層傳輸信息,修改正確包才會正確送達到目的地,紅色字的信息與ARP表無關。目標MAC是包需要到達的那臺電腦的MAC地址,源MAC地址是本機的MAC地址。
藍色的就是ARP應答包的信息,這里修改的內容才會更改被攻擊者電腦中的ARP映射表。發(fā)送者為本機,接受者為目的地。
我們修改的目的就是產(chǎn)生一個錯誤的MAC地址和IP地址間的映射關系。
?
7.這個就是一個已經(jīng)修改過的ARP應答包,這個包是欺騙網(wǎng)關的,讓它將發(fā)送給A用戶的包發(fā)到用戶C上。
(請參照上面給出的IP和MAC信息以及圖片理解,你會發(fā)現(xiàn)ARP應答包里面發(fā)送者IP地址是A用戶,可是發(fā)送者MAC地址卻是C用戶,這就是一個錯誤的映射關系。)
修改好了按RE-INTERPRET重新解釋這個包,然后按右鍵選擇“sent current frame”就可以發(fā)送這個數(shù)據(jù)包了。
?
?8.同上,這也是已經(jīng)修改好的ARP應答包,是欺騙A用戶將需要發(fā)往網(wǎng)關的數(shù)據(jù)包先發(fā)到C用戶主機。
?
?9.這是在A用戶電腦中的ARP映射表,攻擊前電腦中的ARP緩存中的映射關系是正確的。
?10.開始攻擊,A用戶電腦中的ARP映射被修改,IP是網(wǎng)關的IP可是MAC已經(jīng)成為C用戶電腦的MAC地址,在局域網(wǎng)內是通過MAC地址進行數(shù)據(jù)包交換的,所以A用戶送往網(wǎng)關的數(shù)據(jù)包會先發(fā)到C用戶電腦上。
?
?11.A用戶上網(wǎng)正常,因為C用戶開啟了路由轉發(fā)功能,所有嗅探到的數(shù)據(jù)包會被轉發(fā)。
?
12.開始了邪惡的嗅探~先選擇合適的過濾器,默認就是什么包就獲取。?
?
?13.可以發(fā)現(xiàn)用戶A(192.168.20.131)訪問163網(wǎng)頁的數(shù)據(jù)包已經(jīng)獲取到了,如果有傳輸什么用戶名和密碼等等的信息的話嘿嘿~~
?
=====================================================================================
?
那么是不是用戶A的所有信息都能獲取到了呢?并不是,因為你只是在用戶A面前冒充了網(wǎng)關,如果它和用戶B通訊,那些信息還是不過通過你這里的,不過~嘿嘿,如果你都能冒充網(wǎng)關了,再冒充一下用戶B也是一樣的,以下就是A用戶和B用戶之間的流量嗅探(過程略)。
總結
以上是生活随笔為你收集整理的如何用ARP欺骗来嗅探主机流量的全部內容,希望文章能夠幫你解決所遇到的問題。
- 上一篇: Arp小记
- 下一篇: 交换网络中的嗅探和ARP欺骗