道德黑客 – ARP 中毒

地址解析协议 (ARP) 是一种无状态协议，用于将 IP 地址解析为机器 MAC 地址。所有需要在网络上通信的网络设备都会在系统中广播 ARP 查询，以找出其他机器的 MAC 地址。ARP 中毒也称为ARP 欺骗。

这是 ARP 的工作原理 –

• 当一台机器需要与另一台机器通信时，它会查找它的 ARP 表。

• 如果在表中未找到 MAC 地址，则通过网络广播ARP_request。

• 网络上的所有机器都会将此 IP 地址与 MAC 地址进行比较。

• 如果网络中的一台机器识别出这个地址，那么它将用它的 IP 和 MAC 地址响应ARP_request。

• 发出请求的计算机会将地址对存储在其 ARP 表中并进行通信。

什么是ARP欺骗？

可以伪造 ARP 数据包将数据发送到攻击者的机器。

• ARP欺骗构造了大量伪造的ARP请求和应答报文，使交换机过载。

• 交换机设置为转发模式，在ARP 表充斥着欺骗性 ARP 响应后，攻击者可以嗅探所有网络数据包。

攻击者用伪造的条目淹没目标计算机的 ARP 缓存，这也称为中毒。ARP 中毒使用中间人访问来毒害网络。

什么是中间人？

中间人攻击（缩写为 MITM、MitM、MIM、MiM、MITMA）意味着一种主动攻击，攻击者通过在受害者之间建立连接并在他们之间发送消息来冒充用户。在这种情况下，受害者认为他们正在相互通信，但实际上，恶意行为者控制了通信。

存在第三方来控制和监控两方之间的通信流量。某些协议（例如SSL）用于防止此类攻击。

ARP 中毒 – 练习

在本练习中，我们使用BetterCAP在 LAN 环境中使用 VMware 工作站执行 ARP 中毒，其中我们安装了Kali Linux 和Ettercap工具来嗅探 LAN 中的本地流量。

对于此练习，您需要以下工具 –

• VMware工作站
• Kali Linux 或 Linux 操作系统
• Ettercap 工具
• 局域网连接

注意– 这种攻击在有线和无线网络中是可能的。您可以在本地局域网中执行此攻击。

步骤 1 – 安装 VMware 工作站并安装 Kali Linux 操作系统。

第 2 步– 使用用户名 pass “root, toor” 登录 Kali Linux。

步骤 3 – 确保您已连接到本地 LAN 并通过在终端中键入命令ifconfig来检查 IP 地址。

第 4 步– 打开终端并输入“Ettercap –G”以启动 Ettercap 的图形版本。

步骤 5 – 现在单击菜单栏中的选项卡“嗅探”并选择“统一嗅探”，然后单击确定以选择界面。我们将使用“eth0”，这意味着以太网连接。

步骤 6 – 现在单击菜单栏中的“主机”选项卡，然后单击“扫描主机”。它将开始扫描整个网络以查找活动主机。

步骤 7 – 接下来，单击“主机”选项卡并选择“主机列表”以查看网络中可用的主机数量。此列表还包括默认网关地址。我们在选择目标时必须小心。

第 8 步– 现在我们必须选择目标。在 MITM 中，我们的目标是主机，路由是转发流量的路由器地址。在 MITM 攻击中，攻击者拦截网络并嗅探数据包。因此，我们将受害者添加为“目标 1”，将路由器地址添加为“目标 2”。

在 VMware 环境中，默认网关将始终以“2”结尾，因为“1”分配给物理机。

步骤 9 – 在这种情况下，我们的目标是“192.168.121.129”，路由器是“192.168.121.2”。因此，我们将添加目标 1 作为受害者 IP，将目标 2 添加为路由器 IP。

步骤 10 – 现在单击“MITM”并单击“ARP 中毒”。此后，选中“嗅探远程连接”选项，然后单击“确定”。

步骤 11 – 单击“开始”并选择“开始嗅探”。这将在网络中启动 ARP 中毒，这意味着我们已在“混杂模式”下启用我们的网卡，现在可以嗅探本地流量。

注意– 我们只允许使用 Ettercap 进行 HTTP 嗅探，因此不要指望使用此过程嗅探 HTTPS 数据包。

第 12 步– 现在是查看结果的时候了；如果我们的受害者登录了某些网站。你可以在 Ettercap 的工具栏中看到结果。

这就是嗅探的工作原理。您一定已经了解仅通过启用 ARP 中毒获取 HTTP 凭据是多么容易。

ARP中毒有可能在公司环境中造成巨大损失。这是指定道德黑客来保护网络的地方。

与 ARP 中毒一样，还有其他攻击，例如 MAC 泛洪、MAC 欺骗、DNS 中毒、ICMP 中毒等，可能会对网络造成重大损失。

在下一章中，我们将讨论另一种称为DNS 中毒的攻击。