如何进行ARP攻击.doc

ARP攻击、查找与防御 作者:王隆海 Mail:mohe2008@ ? 我们来做第一个攻击试验，是攻击积最大，也是最好防止的一种。让我们来想一下，如何才能影响最大呢， （在这说的最大就是指 不能正常访问INTERNET的机器数量）。网关坏了，对吧网关坏了。那怎么才能坏呢？ 咳咳…过去拔电源。。这叫ＤＯＳ攻击，不叫ＡＲＰ攻击， 其实我们实现起来不是让　网关真正的坏了，而是让所有的机器去往网关的ＭＡＣ是错误呢，那就好了， 好了说干就干。设备就上面的拓扑，攻击软件用的WinArpAttacker.exe 抓包用的Wireshark。这些工具可以在下载区找的到。 如何实现呢，广播，不错我们用广播，广播错误的网关地址。 看我现在的网络状态是正常的。看看 PC3 上的ARP缓存表。(我在这说明下，我用的ＩＰ和拓扑上的有点变化， 上面的/24 这个段换成了/24。还有HACK的MAC地址我也没有修改成AAAA.4444.4444 这么也很清楚,那个很乱的MAC就是攻击者的MAC) 在看看R1 也就是网关的ARP缓存（我这是CISCO的设备） R1分别PING通下面的主机。说明网络还是正常的。 好开始攻击了，我们构建出第一种攻击的攻击包。 看图： 这是抓到的包。意外出现了，在我们发出的包后面紧接着网关也发了一个ARP广播包， ? ? 这时候一直PING 着网关的PC2 出现丢了一个包的情况。 可为什么之后又通了呢，这个和上面的那个神秘的广播有关，看MAC地址可以发现那是网关发出来的，也就 是说，你发广播的时候，路由器也收到了这个欺骗包，但是网关认为自己才是真正的网关啊，收到的这个分 明是欺骗么，所以它就自己广播正确的网关加以更正。 那我们的攻击失败了。这是CISCO ROUTE的一个特性不知道其他的设备是否这样。 那这样，就没有办法了，答案是有，我们可以加大发包的速度，只要快过网关，看攻击设置： 下面是抓包的情况 很明显ARP欺骗包超过了网关的正确广播。所以PING出现了下面的问题。 这个网络基本就不能用了。再来个狠的。 看这样子的发包速度 是什么情况？ 我可以完全肯定这个网络不能用了。 那怎么防护呢，由于它的攻击对象是PC所以我们在PC上绑定静态的就可以。 再来发攻击包 看看PING的情况： 完全没有问题，攻击被解决了。这种攻击你要有防火墙，一般看到的是网关发送的欺骗。 攻击者很是苦恼，终于攻击者又构建一包: 看图 给网关发送虚假的主机信息 看抓包情况： 看PC3PING的情况 虽然是绑定了静态的，可网络还是坏了。WHY？ 我们都知道PING是发送出一个请求包，目标收到请求后再发送应答包给你，那这个包R1 受到了么？我们在R1 上开DEBUG看看 上面说明R1 也就是网关收到了这个PING包，并且发送了回应，那为什么PC3收不到回应呢， 我们来看下R1 的ARP缓存。 R1 到PC3 的MAC地址是错误的。所以PC3 是收不到的。那这个错误的Ping 回应报文去哪了呢？ 首先这个包到了交换机，交换机是靠什么转发的阿？MAC-PORT表阿那目标MAC是1010.1010.1010 是谁的呢？ ? 我们之前说过交换机的一个口可以学习多个MAC地址，那我们的情况是每个口都接了一台PC哪来的2个MAC地址呢。 很明显。这个MAC就是HACK发包被交换机记录的原MAC地址这个MAC地址是下面图片圈红线的MAC而不是HACKER 本身的MAC。也就是说HACK机器现在正常上网就是它自己的MAC 。而发送攻击的MAC是自己乱写的。 该说下防御了，当然我们先讲解一种最简单的，我想大家早已经想到了。对在R1 上绑定静态的，也就是实现双向绑定。 看看这个 后面已经是小短线了，说明是静态的了。我们再来攻击 我多攻击几个包，大家看看攻击包 看看攻击后的PC3 还能正常访问么 很好。不收影响了。那攻击者就。束手无策了么？ 看下面这个包 这个包的目标不重要，什么类型也不重要，重要的是源MAC地址和速度。 看看效果 这是为什么呢。？两边也都绑定了静态的MAC和ip对应关系。那问题只能出在中间的环节上，对就是交换机。 还记得交换机的MAC学习功能吧，一个口可以学习很多没MAC地址，但是同一个MAC地址只能同时被一个交换机端口学习到。 我们来看看攻击前后交换机的MAC表 大家也就明白了。 ? 本来R1 是插在交换机F0/1 口上的，现在R1 的MAC去了哪？对0/14 HACER的端口。 那所有通往网关的数据都到了HACKER那 所以他可以尽情地抓包看你的通讯内容。但是现在黑客也不能正常访问网络的， 原因很简单，他的包到了交换机后，也会被交换机错误的处理。回到了HACKER自己的口。（上面的图可能有点疑惑， 我PC3 和HACKER是同时接在交换机的F0/1