# ARP欺騙中間人攻擊 arp欺騙是很古老的滲透手段，主要起著信息收集的作用，比如你可以利用欺騙獲取對方的流量，從流量分析你認為重要的信息，例如某某賬號密碼。 是針對以太網地址解析協議（ARP）的一種攻擊技術，通過欺騙局域網內訪問者PC的網關MAC地址，使訪問者PC錯以為攻擊者更改后的MAC地址是網關的MAC，導致網絡不通。此種攻擊可讓攻擊者獲取局域網上的數據包甚至可篡改數據包，且可讓網絡上特定計算機或所有計算機無法正常連線。 ## ARP協議基礎 ### 什么是ARP協議？ ARP（Address Resolution Protocol，地址解析協議）是一個位于TCP/IP協議棧中的網絡層，負責將某個IP地址解析成對應的MAC地址。在以太網中，一個主機要和另一個主機進行直接通信，必須要知道目標主機的MAC地址。然而MAC地址是網卡的硬件地址，一般出廠后就具有唯一性。ARP協議就是將目標IP地址解析成MAC地址進行驗證通信。 ### ARP欺騙的正當用途 ARP欺騙亦有正當用途。其一是在一個需要登錄的網絡中，讓未登錄的計算機將其瀏覽網頁強制轉向到登錄頁面，以便登錄后才可使用網上。另外有些設有備援機制的網上設備或服務器，亦需要利用ARP欺騙以在設備出現故障時將訊務導到備用的設備上。 ### ARP欺騙的危害 ARP欺騙可以造成內部網絡的混亂，讓某些被欺騙的計算機無法正常訪問內外網，讓網關無法和客戶端正常通信，也可以截取全網絡數據包等。實際上他的危害還不僅僅如此，一般來說IP地址的沖突我們可以通過多種方法和手段來避免，而ARP協議工作在更低層，隱蔽性更高。系統并不會判斷ARP緩存的正確與否，無法像IP地址沖突那樣給出提示。 ### ARP欺騙的原理 ARP欺騙的運作原理是由攻擊者發送假的ARP數據包到網上，尤其是送到網關上。其目的是要讓送至特定的IP地址的流量被錯誤送到攻擊者所取代的地方。因此攻擊者可將這些流量另行轉送到真正的網關或是篡改后再轉送。攻擊者亦可將ARP數據包導到不存在的MAC地址以達到阻斷服務攻擊的效果，例如netcut軟件。 **簡單案例分析：** 這里用一個最簡單的案例來說明ARP欺騙的核心步驟。假設在一個LAN里，只有三臺主機A、B、C，且C是攻擊者。 1. 攻擊者聆聽局域網上的MAC地址。它只要收到兩臺主機洪泛的ARP Request，就可以進行欺騙活動。 2. 主機A、B都洪泛了ARP Request.攻擊者現在有了兩臺主機的IP、MAC地址，開始攻擊。 3. 攻擊者發送一個ARP Reply給主機B，把此包protocol header里的sender IP設為A的IP地址，sender mac設為攻擊者自己的MAC地址。 4. 主機B收到ARP Reply后，更新它的ARP表，把主機A的MAC地址（IP_A, MAC_A）改為（IP_A, MAC_C）。 5. 當主機B要發送數據包給主機A時，它根據ARP表來封裝數據包的Link報頭，把目的MAC地址設為MAC_C，而非MAC_A。 6. 當交換機收到B發送給A的數據包時，根據此包的目的MAC地址（MAC_C）而把數據包轉發給攻擊者C。 7. 攻擊者收到數據包后，可以把它存起來后再發送給A，達到偷聽效果。攻擊者也可以篡改數據后才發送數據包給A，造成傷害。 ## Arp攻擊 ### 常用arp攻擊工具 1. Anti windows工具，能禁止主機上網，造成IP沖突等 2. arpsniffer windows下的命令行工具 3. zxarps windows下的命令行工具 4. Cain window下的工具，可欺騙https，盜取賬號密碼 ### 實驗一：anti 讓主機無法上網、限速等 禁止主機上網，原理是更改了網關mac地址為隨機 主機IP地址沖突，原理是把攻擊者的mac地址加入了arp表中 ### 實驗二：arpsniffer 單向攻擊 ``` arpsniffer 192.168.1.1 192.168.1.100 80,3389 log.txt # 第一個參數為網關地址，192.168.1.1， # 第二個參數為要欺騙的IP地址， IP為：192.168.1.100， # 第三個參數為要截取數據的端口號：80（可以多個端口用逗號間隔）， # 第四個參數是要把捕獲的數據保存到指定的文件：log.txt ``` 工具在win10以下系統版本可以運行 ### 實驗三:zxarps實現雙向截取數據，并修改網頁內容 ``` zxarps.exe -idx 0 -ip 192.168.1.102 -p 80 -insert “<script>alert(“1111”)</script>” ``` 現在只要IP為192.168.1.102的計算機用戶訪問協議為http的網頁， 頁面中都會彈出一條消息, ARP欺騙可以實現局域網掛廣告， 盜取明文密碼， 偷偷刷weibo粉絲， 查看別人的聊天記錄等， 獲取局域網的微信號，qq號等， 畢竟可以插入JavaScript代碼了 原理是把被攻擊機的arp緩存表中的網關mac地址改變成攻擊者的mac地址，所以被攻擊機接受發出的數據包都可以被我們修改，我們在返回的數據包中插入就可以了 zxarps還有其他的使用方式，比如捕獲用戶的網頁請求數據和接收數據， 截取IP為192.168.1.107和192.168.1.105的所有網頁請求并保存起來， 構造如下的命令行： ``` zxarps -idx 0 -ip 192.168.1.107,192.168.1.105 -p 80 -save_a log.txt ``` ### 實驗四：Cain用戶密碼盜取 Cain,高版本為英文版本,支持http、https監聽,低版本只支持http 1. 配置-->選定網卡-->http表 如果要監聽網站的一些服務的賬號密碼的話，需要在這里添加相對應的字段 2. 開始嗅探 嗅探這里，右鍵掃描一下內網 點左下角arp，刪除默認的，加號 左邊選擇網關地址 右邊選擇被攻擊IP 3. 開始測試 ### 實驗五：Cain實現dns欺騙 可以讓受害者在訪問一個頁面的時候跳轉到攻擊者的釣魚網站上 同樣是cain，利用嗅探器中arp-dns功能 填寫請求的DNS名稱為受害者想訪問的地址 重寫在響應包里的IP地址，為攻擊者想讓受害者訪問的域名解析到的IP地址 ## ARP安全防范 最理想的防制方法是網上內的每臺計算機的ARP一律改用靜態的方式，不過這在大型的網上是不可行的，因為需要經常更新每臺計算機的ARP表。 1、不要隨意登錄免費的WIFI，沒人知道免費的WIFI是不是有惡意的攻擊者在搞鬼； 2、使用ARP綁定， 避免被ARP欺騙； 3、開啟電腦管家或者360安全衛士的ARP防火墻或金山貝殼或彩影ARP防火墻； 4、使用https協議或者其他有保密協議的連接訪問外網，避免被坑。 5、手工靜態綁定 這幾個方法無法徹底隔絕，硬件廠商兩個硬件防御方法參考 1. 華為：需要購買設備 https://wenku.baidu.com/view/55efed86f71fb7360b4c2e3f5727a5e9856a27cd.html 攻擊者的電腦要接入內網首先要通過一個交換機驗證，如果驗證成功，設備通過獲取的MAC-ip進行就地綁定 之后認證服務器會實時監控，發現偽造及時替換 2. 神州：建議直接在交換路由 https://wenku.baidu.com/view/89772efb7e192279168884868762caaedd33bade.html 手工綁定、同時可以設置防網段掃描 Anti-ARP Scan、DHCP Snooping自動綁定