局域网ARP攻击方法图解
- 1、下载文档前请自行甄别文档内容的完整性,平台不提供额外的编辑、内容补充、找答案等附加服务。
- 2、"仅部分预览"的文档,不可在线预览部分如存在完整性等问题,可反馈申请退款(可完整预览的文档不适用该条件!)。
- 3、如文档侵犯您的权益,请联系客服反馈,我们会尽快为您处理(人工客服工作时间:9:00-18:30)。
1,攻击机:安装WinPcap
2,攻击机:运行‘局域网终结者’,写入目标主机的IP,点‘添加到阻断列表’;
3,目标机:网络连接被阻断;
4,攻击机:取消选中地址;
5,到目标机器上验证,网络通信应该恢复正常。
WinArpAttacker攻击
WinArpAttacker的界面分为四块输出区域
第一个区域:主机列表区,显示的信息有局域网内的机器IP、MAC、主机名、是否在线、是否在监听、是否处于被攻击状态。
另外,还有一些ARP数据包和转发数据包统计信息,如:
ArpSQ:是该机器的发送ARP请求包的个数;ArpSP:是该机器的发送回应包个数;ArpRQ:是该机器的接收请求包个数;ArpRQ:是该机器的接收回应包个数;Packets:是转发的数据包个数,这个信息在进行SPOOF时才有用。
Traffic:转发的流量,是K为单位,这个信息在进行SPOOF时才有用。
第二个区域是检测事件显示区,在这里显示检测到的主机状态变化和攻击事件。
能够检测的事件列表请看英文说明文档。
主要有IP冲突、扫描、SPOOF监听、本地ARP表改变、新机器上线等。
当你用鼠标在上面移动时,会显示对于该事件的说明。
第三个区域显示的是本机的ARP表中的项,这对于实时监控本机ARP表变化,防
止别人进行SPOOF攻击是很有好处的。
第四个区域是信息显示区,主要显示软件运行时的一些输出,如果运行有错误,则都会从这里输出。
一、扫描。
当点击“Scan”工具栏的图标时,软件会自动扫描局域网上的机器。
并且显示在其中。
当点击“Scan checked"时,要求在机器列表中选定一些机器才扫描,目的是扫描这些选定机器的情况。
当点击"Advanced"时,会弹出一个扫描框。
这个扫描框有三个扫描方式:第一个是扫描一个主机,获得其MAC地址。
第二个方式是扫描一个网络范围,可以是一个C类地址,也可以是一个B类地址,建议不要用B类地址扫描,因为太费时间,对网络有些影响。
可设为本地的C类地址扫描,也可设为另一个C类地址,如192.168.0.1-254。
也可以扫描成功。
第三个方式是多网段扫描,如果本机存在两个以上IP地址,就会出现两个子网选项。
下面有两个选项,一个是正常扫描,扫描在不在线,另一个是反监听扫描,可以把
正在监听的机器扫描出来。
好,扫描功能就这些。
下面我们讲攻击。
二、攻击
攻击功能有六个:
FLOOD:不间断的IP冲突攻击。
BANGATEWAY:禁止上网
IPConflict:定时的IP冲突。
SniffGateway:监听选定机器与网关的通讯。
SniffHosts:监听选定的几台机器之间的通讯。
SniffLan:监听整个网络任意机器之间的通讯,危险指数较高,可能会把整个网络搞乱,慎用!
所有的攻击在你觉得可以停止后都要点击STOP停止,否则将会一直进行。
FLOOD:选定机器,在攻击中选择FLOOD攻击,FLOOD攻击默认是一千次,你可以在选项中改变这个数值。
FLOOD攻击可使对方机器弹出IP冲突对话框,导致down机,因而要小心使用。
BANGATEWAY:选定机器,选择BANGATEWAY攻击。
可使对方机器不能上网。
IPConflict:会使对方机器弹出IP冲突对话框。
SniffGateway:监听对方机器的上网流量。
发动攻击后用抓包软件来抓包看内容。
我们可以看到Packets、Traffic两个统计数据正在增加。
我们现在已经可以看到对方机器的上网流量。
SniffHosts和SniffLan也类似,因而不再演示。
在选项中可以对攻击时间和行为进行控制。
除了FLOOD是次数外,其他的都是持续的时间,如果是0则不停止。
下面的三个选项,一个是攻击后自动恢复ARP表,其他两个是为了保证被监听机器能正常上网因而要进行数据转发。
建议都保持选择。
在检测事件列表中,我们刚才进行的攻击已经在检测事件列表中被检测出来。
你在这里可以看到是否有人对你进行攻击,以便反制。
三、选项
Adapter是选择要绑定的网卡和IP地址,以及网关IP、MAC等信息。
有时一个电脑中有许多网卡,需选择正确的以太网网卡。
一个网卡也可以有多个IP地址,你要选择你要选择的那个IP地址。
网关也是一样。
如果你在Gateway Mac中看到的是全0的MAC,那么可能没有正确获得网关MAC。
你可以刷新一下来重新获得。
UPDATE是针对机器列表的更新,有两个选项:
第一个是定时扫描网络来更新机器列表。
第二个是被动监听,从过往的数据包中获取新机器的信息。
定时扫描可设定扫描间隔时间。
被动监听可以选择数据包类型,因为一些数据包可以是假的,因而获得的IP和MAC对可能是错误的。
需仔细选择。
DETECT第一个选项是说是不是要一运行就开始检测,第二个数据包个数是指每秒达到多少个数据包时才被认为是扫描,这个是与检测事件输出有关的。
第三个是在多少的时间内我们把许多相同的事件认为是一个事件,如扫描,扫描一个C 网段时要扫描254个机器,会产生254个事件,当这些事件都在一定时间内(默认是5分钟时,只输出一个扫描事件。
)
ANALYSIS:只是一个保存数据包功能,供高级用户分析。
ARP代理:当你启用代理功能之后,这些选项才会有效。
在Arp Packet Send Mode 中,是要选择当谁发送ARP请求包时我要回应,在Mac address中是要选定回应什么MAC地址,可以是本机、网关或者一个任意的MAC。
当局域网内的机器要访问其他机器或网关时,它会发出ARP请求询问包,如果你启用了该功能,軟件就
会自动回应你设定的MAC地址,因而你如果设的是错误的MAC,则许多机器可能都上不了网。
PROTECT:这是一个保护功能,当有人对你或者局域网内的机器进行ARP监听攻击时,它可以自动阻止。
其中有两个选项,一个是本机防护,防护本机不被SPOOF,第二是远程防护,也就是防护其它机器。
不过估计第二个功能实现得不会好,因而SPOOF另外两机器时,ARP包是不大可能到达本机的。
但是本机防护还是较为实用。
当你对本机进行禁止上网攻击时,软件能正确地检测到四个事件:两个禁止访问事件,说0.0.0.0发送特别ARP包禁止本机和网关192.168.253.1通讯,第三个事件说一个IP-MAC对加入到本机ARP表中,且是错误的IP-MAC对,最后一个事件说01-01-01-01-01-01已经被修改成正确的MAC:00-11-22-33-44-54,这就是PROTECT起作用了,软件根据机器列表中的MAC地址修改了ARP中的错误MAC。
四、手动发送ARP包
再讲一下手动发送ARP包的功能,这是给高级用户使用的,要对ARP包的结构比较熟悉才行。
如果你知道ARP攻击原理,你可以在这里手工制作出任何攻击包。
按照以下步骤制作一个IP冲突包,冲突的对象是本机。
目标MAC是本机,源MAC可以是任意的MAC,目标IP和源IP都是本机IP,做完后发送试试。
如果操作正确你会看到IP冲突报警,软件也有检测出来,这是IP 冲突包。
1,攻击机:运行WinArpAttacker.exe(需预安装WinPcap3以上版本)
2,目标机:在WinArpAttacker主界面点‘option’->‘Adapter’;
3,在Option页面中,设定本机要绑定的网卡和MAC(多网卡情况);
4,在‘update’选型卡中,勾选‘Auto Scan………’;
5,在‘Detect’选项卡中,勾选‘Begin to…..’;
6,在‘Protect’选项卡中,勾选‘Enable Local’,然后点‘Apply’;问题1:如果勾选下面的‘Enable remote…’会有什么结果?
7,返回主界面,在‘Scan’项中选‘Scan Lan’,重新扫描局域网主机;
8,扫描后结果;
9,勾选要攻击的主机,点attack -> IPConflict,发动IP冲突攻击;
10,到被攻击机器上查看,显示‘IP地址冲突’,网络服务中断;
11,被攻击机器上的事件察看器记录下被攻击的事件;
12,攻击机:点attack –〉stop attack结束攻击;
ARP欺骗攻击的防御
一、在本地电脑中绑定IP与MAC;
1,使用ipconfig /all,察看自己的IP与MAC;
2,使用arp –s ‘IP’‘MAC’进行绑定;
3,验证:输入arp –a 察看arp缓存表。
二、在路由器上绑定IP与MAC
三、使用ARP防欺骗工具
(一)使用ARP病毒专杀工具
(二)使用ARP防火墙:安装之后,开启防护,再次使用WinArpAttacker进行ARP欺骗攻击,观察保护效果。