ARP攻擊經(jīng)驗(yàn)

ARP協(xié)議--Address Resolution Protocol--地址解析協(xié)議

在以太網(wǎng)中， 一個(gè)主機(jī)要和另一個(gè)主機(jī)進(jìn)行直接通信， 必須要知道目標(biāo)主機(jī)的MAC地址。 但這個(gè)目標(biāo)MAC地址是

如何獲得的呢？它就是通過地址解析協(xié)議獲得的。

f

這是網(wǎng)絡(luò)底層知識(shí)， 一個(gè)合格的hacker應(yīng)該必備的知識(shí)...入侵時(shí)很有用..

首先先說下命令,

arp[-a [InetAddr] [-N IfaceAddr]] [-g [InetAddr] [-N IfaceAddr]] [-d InetAddr [IfaceAddr]] [-s InetAddr EtherAddr [IfaceAddr]]

-a[ InetAddr] [ -N IfaceAddr]  與-a相同 -g[ InetAddr] [ -N IfaceAddr]

顯示所有接口的當(dāng)前 ARP 緩存表。 要顯示特定 IP 地址的 ARP 緩存項(xiàng)， 請(qǐng)使用帶有 InetAddr 參數(shù)的 arp -a， 此處的 InetAddr 代表 IP 地址。 如果未指定 InetAddr， 則使用第一個(gè)適用的接口。 要顯示特定接口的 ARP 緩存表， 請(qǐng)將 -N IfaceAddr 參數(shù)與 -a 參數(shù)一起使用， 此處的 IfaceAddr 代表指派給該接口的 IP 地址。 -N 參數(shù)區(qū)分大小寫。

-d InetAddr [IfaceAddr]

刪除指定的 IP 地址項(xiàng)， 此處的 InetAddr 代表 IP 地址。 對(duì)于指定的接口， 要?jiǎng)h除表中的某項(xiàng)， 請(qǐng)使用 IfaceAddr 參數(shù)， 此處的 IfaceAddr 代表指派給該接口的 IP 地址。 要?jiǎng)h除所有項(xiàng)， 請(qǐng)使用星號(hào) (*) 通配符代替 InetAddr。

-s InetAddr EtherAddr [IfaceAddr]

向 ARP 緩存添加可將 IP 地址 InetAddr 解析成物理地址 EtherAddr 的靜態(tài)項(xiàng)。 要向指定接口的表添加靜態(tài) ARP 緩存項(xiàng)， 請(qǐng)使用 IfaceAddr 參數(shù)， 此處的 IfaceAddr 代表指派給該接口的 IP 地址。

/?            "幫助

Such as

arp -a              顯示所有接口的ARP 緩存表

arp -a -N 123.123.123.123        對(duì)指定的IP地址為123.123.123.123的接口,顯示其ARP緩存表

arp -s 123.123.123.123  FF-FF-FF-FF-FF-FF    將IP地址123.123.123.123解析成物理地址FF-FF-FF-FF-FF-FF并添加到靜態(tài)ARP緩存項(xiàng)

說完命令后我們來試試效果,

到本機(jī)測(cè)試:Dos下輸入 arp -a,回顯

Interface: 192.168.1.2 --- 0x2

Internet Address      Physical Address      Type

192.168.1.1          00-46-05-01-6a-14    dynamic

這里值得注意的是Type是ip和mac的對(duì)應(yīng)關(guān)系類型.

在Ping下局域網(wǎng)下任意一個(gè)IP

再次arp -a ,回顯

Interface: 192.168.1.2 --- 0x2

Internet Address      Physical Address      Type

192.168.1.1          00-46-05-01-6a-14    dynamic

192.168.1.5          00-55-05-01-6a-FF    dynamic

可以看到多了一個(gè)IP,這個(gè)就是因?yàn)槟阈聀ing一個(gè)IP后返回那IP的MAC地址會(huì)添加到靜態(tài)ARP緩存項(xiàng),利用這點(diǎn)我們可以很容易的滲透內(nèi)網(wǎng).

比如我們要在內(nèi)網(wǎng)入侵一主機(jī),但是主機(jī)里有防火墻,并且只對(duì)某一IP開放.

我們可以先掃描這一IP 如192.168.2.3

思路就是先想辦法 讓192.168.2.3當(dāng)機(jī),一旦他死機(jī),主機(jī)里面的ARP緩存表就會(huì)把這IP刪了,然后我們?cè)诟淖约?

的IP,發(fā)一個(gè)ping 給主機(jī),要求主機(jī)更新主機(jī)的arp緩存表,主機(jī)當(dāng)然不知道已經(jīng)換了機(jī)器啊,加入我們的IP及與

MAC的對(duì)應(yīng)關(guān)系,并且更新arp緩存表,然后我們就可以進(jìn)一步活動(dòng)了...

接下來,我們說下基于ARP欺騙的監(jiān)聽原理

監(jiān)聽,我想大家肯定最先想到的是那些嗅探工具,但是那些一旦遇到交換機(jī)就沒用了,這時(shí)候就是ARP出場(chǎng)的時(shí)候了

假設(shè)有三臺(tái)主機(jī)A,B,還有我們的主機(jī)， 位于同一個(gè)交換式局域網(wǎng)中

A與B正在通信,假如我們想要監(jiān)聽A―>B通信的內(nèi)容,于是我們就可以給A發(fā)送一個(gè)偽造的ARP數(shù)據(jù)包,告訴A， B的IP對(duì)應(yīng)的MAC地址為我們的MAC地址,于是,A也就會(huì)相應(yīng)的刷新自己的ARP緩存,將發(fā)給B的數(shù)據(jù),源源不斷的發(fā)送到我們的主機(jī)上來,這樣我就可以對(duì)接收到的數(shù)據(jù)包進(jìn)行分析就好了,達(dá)到了監(jiān)聽的目的.當(dāng)然,因?yàn)閯?dòng)態(tài)ARP緩存是動(dòng)態(tài)的,有超時(shí)時(shí)間的,所以我們必須每隔一段時(shí)間就給A發(fā)送一個(gè)ARP數(shù)據(jù)包

雖然我們這樣達(dá)到了目的,但是A到B的通信卻被停止了,為了不讓B發(fā)現(xiàn),我們還要對(duì)每次接收到的數(shù)據(jù)包進(jìn)行轉(zhuǎn)發(fā),全部都轉(zhuǎn)發(fā)給B,這樣就天衣無縫了

之前的查看QQ號(hào)碼也就是這個(gè)原理..

再說下怎么偽造一個(gè)ARP數(shù)據(jù)包.用到的工具Iris Traffic Analyzer,這是一款網(wǎng)絡(luò)流量分析監(jiān)測(cè)工具.

首先,我們可以先用Iris Traffic Analyzer截獲一個(gè)ARP報(bào)文,點(diǎn)工具欄上類似播放健,然后對(duì)截獲的ARP請(qǐng)求報(bào)文編輯， 讓它變成一個(gè)免費(fèi)ARP報(bào)文,所謂的免費(fèi)ARP報(bào)文就是“自己請(qǐng)求自己的MAC地址”－－主要目的就是避免IP地址沖突！

我們把ARP請(qǐng)求報(bào)文的

目的MAC地址由標(biāo)準(zhǔn)的FF－FF－FF－FF－FF－FF， 改正我們需要欺騙的目的主機(jī)

1.1.1.1的MAC地址：00-0c-76-c6-55-fc

源MAC地址改成我們00－01－02－03－04－05

對(duì)于ARP報(bào)文頭， 我們需要修改：

Sender Hardware Address為:00-01-02-03-04-05

Sender IP Address和Target IP Address都改成：1.1.1.1

然后發(fā)送報(bào)文,在到本機(jī) 執(zhí)行 arp -a 就可以看到結(jié)果了...

后記:至于防范,網(wǎng)上到處都是這些文章.

ARP---套用落伍的一句話!

很好,很強(qiáng)大!

很好,很強(qiáng),也很大!