一、arp攻击概述
在上篇文章里,我给大家普及了arp协议的基本原理,包括arp请求应答、数据包结构以及协议分层标准,今天我们继续讨论大家最感兴趣的话题:arp攻击原理是什么?通过arp攻击可以做什么,账号是否可以被窃取?有哪些常见的arp渗透(攻击)工具可以用来练手?arp扫描和攻击有什么区别,底层数据包特征是怎样的?
接下来,我们通过图解的方式来深入了解arp攻击是如何实现的。
二、arp攻击原理
.jpg)
但凡局域网存在arp攻击,都说明网络存在"中间人",我们可以用下图来解释。
在这个局域网里面,pc1、pc2、pc3三台主机共同连接到交换机sw1上面,对应3个接口port1/2/3。假设pc3这台主机安装了arp攻击软件或遭受arp病毒,成为这个网络的攻击者(hacker),接下来,pc3是如何攻击的?先不急,先来回顾下pc1和pc2是如何通信的。
①pc1需要跟pc2通信,通过arp请求包询问pc2的mac地址,由于采用广播形式,所以交换机将arp请求包从接口p1广播到p2和pc3。(注:交换机收到广播/组播/未知帧都会其他接口泛洪)
②pc2根据询问信息,返回arp单播回应包;此时pc3作为攻击者,没有返回arp包,但是处于"监听"状态,为后续攻击做准备。
③pc1和pc2根据arp问答,将各自的arp映射信息(ip-mac)存储在本地arp缓存表。
④交换机根据其学习机制,记录mac地址对应的接口信息,存储在cam缓存表(也称为mac地址表)。交换机收到数据包时,会解封装数据包,根据目标mac字段进行转发。
关于上面的图解,我们要记住这些关键知识(敲黑板!):
①主机通信需要查找arp表,而交换机通信需要查找cam表(路由器则查找route表)。
注:arp表:ip<->maccam表:mac<->port(route表:route<->port)
②交换机基于源mac地址学习,基于目的mac地址转发。
③同一局域网内,攻击者可以根据主机的arp广播请求监听其ip和mac信息。
注:这里是"被动监听",跟后面要谈到的"主动扫描",原理上有区分,这里先埋个坑)
接下来是重点,我们来看看pc3(hacker)是如何发起arp攻击的=>
正常情况下,若收到的arp请求不是给自己的,则直接丢弃;而这里pc3(hacker)在监听之后,发起了arp回应包:我就是pc2(ip2-mac3)。从拓扑可以出现,pc3明明是ip3对应mac3,很显然这就是一个arp欺骗行为。于此同时,pc2正常的arp回应包也交到了pc1手中,我们来看pc1接下来如何处理的:
pc1收到两个arp回应包,内容分别如下:
③我是pc2,我的ip地址是ip2,我的mac地址是mac2;
③我是pc2,我的ip地址是ip2,我的mac地址是mac3;
pc1一脸懵:咋回事?还有这操作?不管了,我选最新的!(后到优先)
这里给大家顺便普及下网络协议里各种表在处理缓存信息的方式:
要么"先到先得",要么"后到优先"。上面提到的arp和cam表,就是遵循"后到优先"原则,而后面章节我们会讲到的dhcp表,则遵循"先到先得"原则。
那么问题来了,上面两个arp回应包到底哪个先到哪个后到呢?
作为初学者,可能还在纠结前后这种naive的问题;而作为hacker,只要持续不停发出arp欺骗包,就一定能够覆盖掉正常的arp回应包。稳健的arp嗅探/渗透工具,能在短时间内高并发做网络扫描(例如1秒钟成千上百的数据包),能够持续对外发送欺骗包。
无论如何,当pc1和pc2这种"小白"用户遇到pc3(hacker)时,最终的结果一定是这样的:
小白vs黑客,很明显的较量,pc1最终记录的是虚假的arp映射:ip2<->mac3,得到错误信息的pc1,接下来会发生什么情况呢?(我们以pc1pingpc2为例)
根据数据封装规则,当pc1要跟pc2进行通信时,无论是发生ping包还是发送其他数据,
首先要查找arp表,然后在网络层打上源目ip,在链路层打上源目mac,然后将数据包发送给交换机。交换机收到之后对数据进行解封装,并且查看cam表(基于目的mac转发),由于目标mac3对应port3,所以交换机自然而然将其转发给pc3。
就这样,pc1本来要发给pc2的数据包,落到了pc3(hacker)手里,这就完成了一次完整的arp攻击。反过来,如果pc2要将数据包发送给pc1,pc3仍然可以以同样的arp欺骗实现攻击,这就有了下面这张图(pc3既欺骗了pc1,也欺骗了pc2)。
此时,pc1和pc2的通信数据流被pc3拦截,形成了典型的"中间人攻击"。那么,一旦被攻击并拦截,攻击者能做什么,普通用户又会遭受什么损失?这里给大家举几个常见的例子=>
①攻击者既然操控了数据流,那么直接断开通信是轻而易举的,即"断网攻击",例如,pc1发给pc2的数据在pc3这里可以直接丢弃,而如果这里的pc2是一台出口路由器(无线路由器),那就意味着pc1直接无法连上互联网。
②"断网攻击"显然容易被发现,而且比较"残忍",所以就有了更加常见的应用-"限速"。例如,在宿舍上网突然很慢,在网吧上网突然打不开网页,如果这个网络没有安全防御,那么很有可能有"内鬼"。
③其实无论是"断网攻击"还是"限速",整体还是比较"善良",因为这里流量里面的核心数据还没有被"提取"出来。如果攻击者是一名真正的黑客,他的目的一定不会这么无聊,因为内网流量对于黑客是没有太大价值的,而只有"用户隐私",例如常见网站的登录账号密码,这些才是最有价值的。
问:遭受arp攻击之后,哪些账号可能被窃取?
答:任何基于明文传输的应用,都可以被窃取。例如,如果一个网站不是https协议,而是基于http明文传输,那么当你登录这个网站时,你的密码就会被窃取。除了http(web应用),常见的还有telnet、ftp、pop3/smtp/imap(邮箱)等应用,都很容易泄露密码。
我们接下来使用下列工具模拟以上过程
使用p2p终结者/ettercap/cain攻击用wirehshark抓包分析arp扫描和arp欺骗用wireshark抓取上网账号密码
具体操作流程明天见
