安卓arp防火墙(反arp攻击安卓)
一、实验的目的是掌握ARP欺骗攻击。掌握ARP欺骗攻击全过程,学会防范ARP欺骗。二、实验环境系统环境:环境、kail环境、XP环境软件工具:三、实验原理ARP缓存1.那里是每台安装了TCP/IP协议的计算机中的ARP缓存表,表中的IP地址和MAC地址一一对应,如下图是主机的ARP缓存表:
在上面显示的ARP缓存表中,IP地址192.168.70.129的映射MAC地址为00-50-56-2b-68-41。接下来,我们使用主机 X(192.168.70.129) 来托管 Y(192.168.7< @0.134)
当主机 X 发送数据时,它会在其 ARP 缓存表中查找主机 Y 的 IP 地址。如果找到并且知道主机Y的MAC地址,则将目的MAC地址写入数据包并发送;如果在ARP缓存表中没有找到主机Y的IP地址,主机X会在网络上发送一个广播,目的MAC地址为“FF-FF-FF-FF-FF”。这意味着这个查询被发送到同一网段上的所有主机:192.168.70.129 MAC 地址是什么?网络上的其他主机不响应 ARP 查询。只有主机 Y 收到此数据包后,才会回复主机 X:192.168.70.129 的 MAC 地址为 00-50-56-2b-68-41。这样主机X就知道了主机Y的MAC地址,它可以向主机Y发送信息,同时更新自己的ARP缓存表。下次它向主机 Y 发送信息时,它可以直接从 ARP 缓存表中查找信息。 ARP缓存表采用老化机制。如果表中的某行在一段时间内没有被使用,就会被删除,这样可以大大减少ARP缓存表的长度,加快查询速度。
2.2 定义。 ARP欺骗
从前面的介绍可以看出,ARP的致命缺陷是它没有任何认证机制。当个人请求某个 IP 地址的 MAC 时,任何人都可以使用该 MAC 地址进行回复,并且该回复将被视为合法。 ARP 不只是在发送 ARP 请求后收到 ARP 回复。当主机收到一个 ARP 回复数据包时,它会更新其 ARP 缓存并将回复中的 IP 和 MAC 地址存储在 ARP 缓存表中。此外,局域网中的数据包是基于 MAC 地址而不是 IP 地址传输的。可以使用 ARP 欺骗所有主机。
3.常用3.ARP命令:
注意空格的使用
用于查看缓存表中的所有项目。
arp -a ip
仅显示包含指定 IP 的缓存表条目。
arp -s ip mac
将静态目录添加到 ARP 缓存表中,该目录在计算机启动期间仍然有效。
arp -d ip
删除 ARP 缓存表中的静态条目
四、下面的实验步骤PC2会使用ARP欺骗攻击PC1。目的是将PC1缓存表中网关的MAC地址改为AA:AA:AA:AA:AA进行欺骗,使PC1无法正常上网。
* *更新前:** PC1的缓存表如下图。网关IP:192.168.70.2 对应的MAC地址为:00-50-56-e5-d2-ff
此时PC1可以正常上网了,如下图所示:
打开窗口7. 将压缩包解压到文件夹后,找到.exe文件,双击打开。
打开.exe文件,选择第二块网卡,选择ARP包模式。
发送方IP和MAC填写网关的真实IP地址,这里修改MAC地址为AA:AA:AA:AA,达到欺骗的目的。选择ARP包功能和Arp回复包,MAC头填入目的真实MAC地址(这里是PC1的MAC地址),源MAC地址填入修改后的MAC地址(这里是AA:AA :AA:AA :AA:AA)。设置好后点击发送。
* *更新后:* *此时我们回到PC1,使用arp -a命令查看网关的MAC地址。我们成功改为aa:aa:aa:aa:aa:aa:aa:aa。
此时,我们再次验证PC1是否可以正常上网,发现不能再正常上网,如下图:
PC2 向 PC1 发送一个虚假的 ARP 回复数据包。在这个回复数据中,发送者的IP地址是网关的192.168.70.2映射的MAC更新为AA:AA:AA:AA:AA(网关的MAC地址应该是00-50-56-e5-d2-ff,此时我们已经伪造)。当PC1收到PC2发来的伪造ARP回复时,会更新本地ARP缓存表(PC1不知道MAC是伪造的),PC1也不知道ARP回复包是从PC2发来的。这样,PC1 发送到网关的所有数据包都将发送到 PC2。 PC1完全没有意识到变化,但是接下来的事情让PC1起了疑心,因为它无法正常上网,因为PC2只收到了PC1发给网关的数据,并没有转发给网关。
2.PC2 充当“中间人”,执行 ARP 重定向。开启IP转发功能,将PC1发送的数据包转发到网关,就像路由器一样。当网关收到一个数据包时,它完全认为该数据包是由PC1发送的。但是,网关发送的数据包直接发送到PC1。如果再对网关进行ARP欺骗,那么PC2就完全成为PC1和网关之间的中间桥梁,可以很好的知道PC1和网关之间的通信(如果被ARP监听了,想想也不可怕)
启动kali虚拟机,打开终端,输入命令:-G如图:
在进行中间人攻击之前,需要扫描当前局域网中的活动主机,确认目标机器,点击统一嗅探开始嗅探,如下图:
选择当前网卡eth0,点击确定进入嗅探,如下图:
点击菜单中的主机,选择扫描主机,扫描本机(kali)拥有的主机和网关,如下图:
单击主机菜单并选择主机列表以列出与网关交互的所有主机。扫描结果如下图所示:192.168.70.133是主机的IP地址,192.169.7 0. 2 是网关的 IP 地址。
接下来选择攻击目标,右击目标IP点击添加到目标1,选择第二个攻击目标IP(网关),右击网关目标IP点击添加到目标2,如图下图显示:
然后确定攻击方式,点击这里的Mitm菜单,选择ARP执行ARP欺骗的攻击方式,如下图:
勾选嗅探远程连接,点击确定按钮,如下图:
点击开始菜单,选择开始嗅探,然后开始监听。
在虚拟机中,打开cmd命令控制窗口,输入arp -a查看arp缓存表。原来网关的MAC地址(192.168.70.2)和kali主机的MAC地址是一样的,如图下图:
到目前为止,我们已经开始验证 ARP 中间人欺骗是否成功。返回虚拟机,打开浏览器进入登录界面,输入登录用户名和密码,点击确认登录,如下图:
回到kali主机,我们已经成功获取到主机访问网站的用户名和密码,如下图:
动词(动词的缩写)ARP攻击防范: 1.双向绑定:一般来说,在小型网络中,建议使用双向绑定,即路由器和终端都使用IP- MAC绑定措施。它可以抑制双方的ARP欺骗,伪造网关,拦截数据。这是一种基于 ARP 欺骗原理的预防措施,是应用最广泛的方法。它对最常见的 ARP 欺骗有效。
2.ARP防火墙:在一些杀毒软件中增加ARP防火墙功能。在终端电脑上绑定网关,保证不会受到网络中假网关的影响,这是保护自己的数据不被盗用的措施。 ARP被广泛使用,但也存在一些问题。例如,它不能保证绑定的网关一定是正确的。如果网络中发生ARP欺骗,有人伪造网关,ARP防火墙会绑定错误的网关,风险很大。
3.VLAN和交换机端口绑定:划分VLAN和交换机端口绑定也是防止ARP的常用防御方法。方法是仔细划分VLAN,缩小广播域的范围,让ARP在小区域内工作,而不影响大区域。同时,部分网管交换机具有MAC地址学习功能。学习完成后,可以关闭该功能,将对应的MAC地址绑定到端口,防止病毒利用ARP攻击篡改自己的地址。也就是说,消除了 ARP 攻击中数据被截获的风险。
