文章目錄

• arp攻擊
• • 工具使用
• 防御方案

arp攻擊

ARP協(xié)議

• ARP（Address Resolution
  Protocol）地址轉(zhuǎn)換協(xié)議，工作在OSI模型的數(shù)據(jù)鏈路層，在以太網(wǎng)中，網(wǎng)絡(luò)設(shè)備之間互相通信是用MAC地址而不是IP地址，ARP協(xié)議就是用來把IP地址轉(zhuǎn)換為MAC地址的。而RARP和ARP相反，它是反向地址轉(zhuǎn)換協(xié)議，把MAC地址轉(zhuǎn)換為IP地址。

ARP欺騙原理

• 在每臺主機中都有ARP緩存表，緩存表中記錄了IP地址與MAC地址的對應(yīng)關(guān)系，而局域網(wǎng)數(shù)據(jù)傳輸依靠的是MAC地址(網(wǎng)絡(luò)設(shè)備之間互相通信用MAC地址而不是IP)。

ARP欺騙（單向，雙向）

• 單向：如A主機欺騙B主機或A主機欺騙網(wǎng)關(guān) 雙向：如A主機同時欺騙B主機及網(wǎng)關(guān)(中間人攻擊)
  
• 雙向：如A主機同時欺騙B主機及網(wǎng)關(guān)(中間人攻擊)
  

工具使用

Arping簡要使用

• -A：與-U參數(shù)類似，但是使用的是ARP REPLY包而非ARP REQUEST包。
  -b：發(fā)送以太網(wǎng)廣播幀，arping在開始時使用廣播地址，在收到回復(fù)后使用unicast單播地址。
  -c：發(fā)送指定的count個ARP REQUEST包后停止。如果指定了-w參數(shù)，則會等待相同數(shù)量的ARP REPLY包，直到超時為止。
  -D：重復(fù)地址探測模式，用來檢測有沒有IP地址沖突，如果沒有IP沖突則返回0。
  -f：收到第一個響應(yīng)包后退出。
  -h：顯示幫助頁。
  -I：用來發(fā)送ARP REQUEST包的網(wǎng)絡(luò)設(shè)備的名稱。
  -q：quite模式，不顯示輸出。
  -U：無理由的（強制的）ARP模式去更新別的主機上的ARP CACHE列表中的本機的信息，不需要響應(yīng)。
  -V：顯示arping的版本號。
  -w：指定一個超時時間，單位為秒，arping在到達指定時間后退出，無論期間發(fā)送或接收了多少包。在這種情況下，arping在發(fā)送完指定的count（-c）個包后并不會停止，而是等待到超時或發(fā)送的count個包都進行了回應(yīng)后才會退出。

  -s：設(shè)置發(fā)送ARP包的IP資源地址，如果為空，則按如下方式處理： 1、DAD模式（-D）設(shè)置為0.0.0.0； 2、Unsolicited模式（-U）設(shè)置為目標(biāo)地址； 3、其它方式，從路由表計算。

Arp欺騙命令

• 將受害主機IP的網(wǎng)關(guān)地址偽造實現(xiàn)數(shù)據(jù)斷網(wǎng)或截獲 Arping -s 偽造MAC -S 網(wǎng)關(guān)IP地址 受害主機IP地址

開啟數(shù)據(jù)轉(zhuǎn)發(fā)

• echo 1 > /proc/sys/net/ipv4/ip_forward

#運行本地抓包

• 運行wireshark，即可抓取http包從而嗅探http中的敏感數(shù)據(jù)

防御方案

采用IP手工設(shè)置，ARP防火墻等

總結(jié)

以上是生活随笔為你收集整理的中间人攻击-http流量嗅探的全部內(nèi)容，希望文章能夠幫你解決所遇到的問題。

如果覺得生活随笔網(wǎng)站內(nèi)容還不錯，歡迎將生活随笔推薦給好友。