ARP是什么?

ARP是地址解析协议,一台主机和另一台主机通信,要知道目标的IP地址,但是在局域网中传输数据的网卡却不能直接识别IP地址,所以用ARP解析协议将IP地址解析成MAC地址。ARP协议的基本功能就是通过目标设备的IP地址,来查询目标设备的mac地址。

ARP攻击的原理

  1. ARP欺骗攻击建立在局域网主机间相互信任的基础上的当A发广播询问:我想知道IP是192.168.0.3的硬件地址是多少?

  2. 此时B当然会回话:我是IP192.168.0.3我的硬件地址是mac-b,可是此时IP地址是192.168.0.4的C也非法回了:我是IP192.168.0.3,我的硬件地址是mac-c。而且是大量的。

  3. 所以A就会误信192.168.0.3的硬件地址是mac-c,而且动态更新缓存表这样主机C就劫持了主机A发送给主机B的数据,这就是ARP欺骗的过程。

  4. 假如C直接冒充网关,此时主机C会不停的发送ARP欺骗广播,大声说:我的IP是192.168.0.1,我的硬件地址是mac-c,此时局域网内所有主机都被欺骗,更改自己的缓存表,此时C将会监听到整个局域网发送给互联网的数据报。

局域网内arp攻击是什么(独家揭秘黑客工具)(1)

攻击后现象

好了,聊完这些,我们来说说ARP攻击的工具WinARPAttacker,这是一款测试人员最常用的攻击工具

我们看一下功能吧

局域网内arp攻击是什么(独家揭秘黑客工具)(2)

WinArpAttacker的界面分为四块输出区域。

第一个区域:主机列表区,显示的信息有局域网内的机器IP、MAC、主机名、是否在线、是否在监听、是否处于被攻击状态。

另外,还有一些ARP数据包和转发数据包统计信息,如

ArpSQ:是该机器的发送ARP请求包的个数

ArpSP:是该机器的发送回应包个数

ArpRQ:是该机器的接收请求包个数

ArpRQ:是该机器的接收回应包个数

Packets:是转发的数据包个数,这个信息在进行SPOOF时才有用。

Traffic:转发的流量,是K为单位,这个信息在进行SPOOF时才有用。

第二个区域是检测事件显示区,在这里显示检测到的主机状态变化和攻击事件。能够检测的事件列表请看英文说明文档。

主要有IP冲突、扫描、SPOOF监听、本地ARP表改变、新机器上线等。当你用鼠标在上面移动时,会显示对于该事件的说明。

第三个区域显示的是本机的ARP表中的项,这对于实时监控本机ARP表变化,防止别人进行SPOOF攻击是很有好处的。

第四个区域是信息显示区,主要显示软件运行时的一些输出,如果运行有错误,则都会从这里输出。

当点击“Scan”工具栏的图标时,软件会自动扫描局域网上的机器。并且显示在其中。

当点击“Scan checked"时,要求在机器列表中选定一些机器才扫描,目的是扫描这些选定机器的情况。

当点击"Advanced"时,会弹出一个扫描框。这个扫描框有三个扫描方式。

第一个是扫描一个主机,获得其MAC地址。

第二个方式是扫描一个网络范围,可以是一个C类地址,也可以是一个B类地址,建议不要用B类地址扫描,因为太费时间,对网络有些影响。

可设为本地的C类地址扫描,也可设为另一个C类地址,如192.168.0.1-254。也可以扫描成功。

第三个方式是多网段扫描,如果本机存在两个以上IP地址,就会出现两个子网选项。下面有两个选项,一个是正常扫描,扫描在不在线,另一个是反监听扫描,可以把正在监听的机器扫描出来。

局域网内arp攻击是什么(独家揭秘黑客工具)(3)

我们下载软件后,安装,打开(注意,这里小E的演习只用于学习和研究,请勿用于非法用途,让网警抓到了整个人都不好了!)

局域网内arp攻击是什么(独家揭秘黑客工具)(4)

点击扫描scanf,先扫描一下局域网内的机器,上面已经详细介绍了用法,不过小编用的是汉化版的,工具自己自行百度下载就可以了,找不到的可以私信给小编,小编看到消息后会给你回复的!

局域网内arp攻击是什么(独家揭秘黑客工具)(5)

局域网内arp攻击是什么(独家揭秘黑客工具)(6)

局域网内arp攻击是什么(独家揭秘黑客工具)(7)

接下来就是Attack,以下都是官方的说明

局域网内arp攻击是什么(独家揭秘黑客工具)(8)

Attack中有多个选项,我给大家介绍一下。

Flood: 连续并且大量地发送“Ip Conflict”包(此功能有可能会导致对方DOWN机)。

2).BanGateway: 发包欺骗网关,告诉网关错误的目标机MAC地址,导致目标机无法接收到网关发送的包(这个功能我还没有研究透,因为对目标机器使用这种攻击,但它还是能上网,可能是公司的网关有ARP防火墙作保护)。

3).Ip Conflict: 发送一个IP一样但Mac地址不一样的包至目标机,导致目标机IP冲突。(频繁发送此包会导致机器断网),这个和第一功能的效果我就不截图了,如果被攻击,效果很明显,在你机器的右下角会有个IP冲突的标志....这里就不多说了。

4).Sniffgateway: 同时ARP欺骗网关和目标机,使你可以监听目标机的通信。

5).SniffHosts:欺骗多个主机,使你可以监听他们之间的通信。(危险!)

6).SniffLan:...欺骗局域网的所有机器,说是你才是网关,然后通过这个你可以监听整个网络...(危险!!!)

以上是Attack功能的介绍,接下来是Detect功能,它的主要作用是检查现在网络上基于ARP的攻击(这里不详细介绍)。

最后选择一个目标就可以进行简单的攻击,以下无图

局域网内arp攻击是什么(独家揭秘黑客工具)(9)

其实还有一选项很重要,也很厉害,自己完全可以定向的欺骗目标机,再对其修改ARP缓存,填完这一切后,就可以进行发送了

局域网内arp攻击是什么(独家揭秘黑客工具)(10)

局域网内arp攻击是什么(独家揭秘黑客工具)(11)

最后我们再来看看他的设置功能有哪一些

局域网内arp攻击是什么(独家揭秘黑客工具)(12)

局域网内arp攻击是什么(独家揭秘黑客工具)(13)

局域网内arp攻击是什么(独家揭秘黑客工具)(14)

ps:这一切喜欢搞安全的朋友可以用来进行学习交流,切勿用于非法用途,我只是简简单单的介绍了ARP以及这个工具的测试使用,下面教大家如何防护攻击

局域网内arp攻击是什么(独家揭秘黑客工具)(15)

好了,这期就分享这么多吧,大家如果有什么问题可以随时来问哦,如果下不到软件,或者配置出现了问题也可以随时来询问我!感谢大家的支持!

我是小E,咱们下期见!

,