一、ARP攻击原理
但凡局域网存在ARP攻击,都说明网络存在“中间人”。
在局域网里面,PC1、PC2、PC3三台主机共同连接到交换机SW1上面,对应3个接口port 1/2/3。假设PC3这台主机安装了ARP攻击软件或遭受ARP病毒,成为这个网络的攻击者(hacker),接下来,PC3是如何攻击的?
①PC1需要跟PC2通信,通过ARP请求包询问PC2的MAC地址,由于采用广播形式,所以交换机将ARP请求包从接口P1广播到PC2和PC3。
(注:交换机收到广播/组播/未知帧都会其他接口泛洪)
②PC2根据询问信息,返回ARP单播回应包,此时PC3作为攻击者,没有返回ARP包,但是处于“监听”状态,为后续攻击做准备。
③PC1和PC2根据ARP问答,将各自的ARP映射信息(IP——MAC)存储在本地ARP缓存表。
④交换机根据其学习机制,记录MAC地址对应的接口信息,存储在CAM缓存表(也称为MAC地址表)。交换机收到数据包时,会解封装数据包,根据目标MAC字段进行转发。
关键知识:
①主机通信需要查找ARP表,而交换机通信需要查找CAM表(路由器则查找Route表)。
注:ARP表:ip←→mac CAM表:mac←→port(Route表:route←→port)
②交换机基于源MAC地址学习,基于目的MAC地址转发。
③同一局域网内,攻击者可以根据主机的ARP广播请求监听其IP和MAC信息。(“被动监听”)
PC3(Hacker)如何发起ARP攻击?
正常情况下,若收到的ARP请求不是给自已的,则直接丢弃;而这里PC3(Hacker)在监听之后,发起了ARP回应包:我就是PC2(IP2——MAC3)。从拓扑可以看出,PC3明明是IP3对应MAC3,很显然是一个ARP欺骗行为。于此同时,PC2正常的ARP回应包也交到了PC1手中,PC1如何处理的?
PC1收到两个ARP回应包,内容分别是:
③我是PC2,我的IP地址是IP2,我的MAC地址是MAC2.
③我是PC2,我的IP地址是IP2,我的MAC地址是MAC3.
PC1会选最新的!(后到优先)
ARP和CAM表遵循“后到优先”原则。
作为Hacker,只要持续不停发出ARP欺骗包,就一定能够覆盖掉正常的ARP回应包。稳健的ARP嗅探/渗透工具,能在短时间内高并发做网络扫描(例如1秒钟成千上百的数据包),能够持续对外发送欺骗包。
当PC1和PC2这种“小白”用户遇到PC(Hacker)时,最终结果:
PC1最终记录的是虚假的ARP映射:IP2←→MAC3,得到错误信息的PC1,接下来会发生说明情况?(以PC1 ping PC2为例)
PC1本来是要发给PC2的数据包,落到了PC(Hacker)手里,这就完成了一次完整的ARP攻击。反过来,如果PC2要将数据包发送给PC1,PC3仍然可以以同样的ARP欺骗实现攻击。(PC3既欺骗了PC1,也欺骗了PC2)
ARP攻击基于伪造的ARP回应包,黑客通过构造“错位”的IP和MAC映射,覆盖主机的ARP表,(也称为“ARP毒化”),最终截取用户的数据流。
此时,PC1和PC2的通信数据流被PC3拦截,形成了典型的"中间人攻击"。那么,一旦被攻击并拦截,攻击者能做什么,普通用户又会遭受什么损失?
①攻击者既然操控了数据流,那么直接断开通信是轻而易举的,即"断网攻击”,例如,PC1发给PC2的数据在PC3这里可以直接丢弃,而如果这里的PC2是一台出口路由器(无线路由器),那就意味着PC1直接无法连上互联网。
②"断网攻击"显然容易被发现,而且比较"残忍",所以就有了更加常见的应用-"限速"。例如,在宿舍上网突然很慢,在网吧上网突然打不开网页,如果这个网络没有安全防御,那么很有可能有"内鬼"。
③其实无论是”断网攻击”还是“限速”,整体还是比较”善良",因为这里流量里面的核心数据还没有被“提取"出来。如果攻击者是一名真正的黑客,他的目的一定不会这么无聊,因为内网流量对于黑客是没有太大价值的,而只有"用户隐私",例如常见网站的登录账号密码,这些才是最有价值的。
问:遭受ARP攻击之后,哪些账号可能被窃取?
答:任何基于明文传输的应用,都可以被窃取。例如,如果一个网站不是HTTPS协议,而是基于HTTP明文传输,那么当你登录这个网站时,你的密码就会被窃取。除了http(web应用),常见的还有telnet、ftp、pop3/smtp/imap(邮箱)等。
二、ARP渗透工具底层原理分析
常见的ARP扫描和欺骗攻击
三、Vmware虚拟机网卡模式
1、NAT地址翻转模式,可以访问互联网,共享真机的IP地址,外部不知道有虚拟机。
2、Bridge桥接模式,可以访问互联网,使用各自的IP地址,外部知道有虚拟机。
3、Host-Only主机模式,不可以访问互联网。
