arp地址解析协议
arp欺骗原理
arp欺骗演示
环境:
攻击机(虚拟机)
操作系统:kali
使用:ettercap v0.8.3
IP:192.168.118.131
靶机(主机)
操作系统:Windows 7
IP:192.168.118.130
1、在kali中终端中启动ettercap
ettercap -G #以图像化页面启动
启动之后的界面
sniffing at startup 是启用嗅探选项的意思,勾选起,选择eth0网卡。然后勾选右上角的勾完成设置。
2、点击scan host
3、点击host list 发现的主机列表
5、将网关添加到目标2
6、点击MITM菜单,然后点击ARP中毒攻击
7、之后选择远程连接嗅探,表示网关和目标都欺骗,点击ok
8、之后点击更多,点击view,点击connect即可查看目标机和网关的通信数据包
在kali命令行输入
driftnet -i eth0
表示使用driftnet工具,-i表示指定图片格式,eth0表示实现获取截获数据中的图片的网卡
在win7里面访问http://www.360doc.com/content/20/0513/09/36050805_912019443.html
返回kali即可查看捕获的图片
这便成功截获到经过我们kali网卡的数据包里面的图片数据,当然,这只是http协议的数据。想要https协议的数据的话怕是很难实现,因为需要得到密钥解密数据。
arp欺骗防御措施
1、在协议上做加密通信,比如https的SSL(安全套接字层)和TLS(传输层安全)的加密通信一样,这样即使数据包被截获到也不会泄露数据。
3、使用ARP防护软件如欣向ARP工具,Antiarp等
DNS欺骗原理
DNS欺骗演示
第一步:先修改kali文件/etc/ettercap/etter.dns里面的域名解析配置
1、kali命令行输入vim /etc/ettercap/etter.dns
打开后的界面
第二步,开启一个web服务,用来接收访问请求,在kali上输入/etc/init.d/apache2 start来开启apache2的web服务。
第三步.重复arp欺骗的步骤
之后选择插件,选择manage plugins
再双击dns_spoof
之后在win7里面访问百度一下试试。我这里重启了win7访问了真正的百度本地dns已经有了缓存,所有乱输入一个访问到了攻击机部署的apache2服务。
DNS欺骗防范
1、在根源上防范,就是arp的防范措施
2、改善dns解析机制,由于dns解析没有进行身份验证和完整性校验,导致任何人都可以冒充。所以完善这一机制可以防范dns解析欺骗。也称为dns劫持。
