请选择 进入手机版 | 继续访问电脑版

设为首页 收藏本站
思科社区 关注
思科社区

搜索
热搜: 邮件服务器
查看: 1262|回复: 4

【原创】关于ARP欺骗(中间人)攻击抓包分析基础篇

[复制链接]
发表于 2020-3-17 20:39:51 | 显示全部楼层 |阅读模式
关于ARP欺骗(中间人)攻击
正常情况下,PC2想访问互联网,需要知道网关的MAC地址,这个是缓存在本地的
C:\Users\Administrator>arp -a
接口: 192.168.1.8 --- 0xc
  Internet 地址         物理地址              类型
  192.168.1.1           e0-46-9a-6a-fb-16       动态
但是PC1是攻击者,使用软件发起ARP欺骗,首先我们来看如果有人执行ARP扫描,我们抓包的结果:
在软件中执行ARP欺骗
PC2上验证欺骗结果
此时PC发出大量ARP数据包,说自己的MAC对应192.168.1.1(伪造网关,实施欺骗)
为了防止网关欺骗,我们可以在终端上,把网关的MAC静态绑定到IP上,也就是创建静态的ARP条目
标准语句
arp -s 192.168.1.1  e0-46-9a-6a-fb-16
此时如果本机网卡比较多,包括很多虚拟网卡,会提示失败。所以我们还要选择绑定的网卡:
netsh -c i i show in    显示本机网卡编号
本机有4个网卡,其中本地连接是物理网卡,编号是12
netsh -c i i add neighbors 12 192.168.1.1 e0-46-9a-6a-fb-16
主机上查看ARP条目
C:\Users\Administrator>arp -a
接口: 192.168.1.8 --- 0xc
  Internet 地址         物理地址              类型
  192.168.1.1           e0-46-9a-6a-fb-16       静态
删除绑定:
netsh -c "i i" del neighbors 12
备注:对于主机数量比较大的环境,比如企业环境,这种方法工作量比较大,而且也不能预防其非网关MAC地址的欺骗,这个可以对部分重点设备,比如网关、服务器进行保护,但是终端主机在公司一般都是动态获取的,此时需要更多的保护措施,比如ARP防火墙、端口安全、DAI等等。下篇再讨论。



本帖子中包含更多资源

您需要 思科 CCO 登录 才可以下载或查看,没有帐号?思科 CCO 注册   

x
  • 1
  • 2
  • 3
  • 4
  • 5
  • 1
  • 2
  • 3
  • 4
  • 5
平均得分5 (1 评价)
发表于 2020-3-18 15:51:15 | 显示全部楼层
感谢小牛老师分享,谢谢~
  • 1
  • 2
  • 3
  • 4
  • 5
  • 1
  • 2
  • 3
  • 4
  • 5
平均得分0 (0 评价)
发表于 2020-3-27 10:33:18 | 显示全部楼层
感谢楼主分享
  • 1
  • 2
  • 3
  • 4
  • 5
  • 1
  • 2
  • 3
  • 4
  • 5
平均得分0 (0 评价)
发表于 2020-4-10 11:20:25 | 显示全部楼层
这篇文章还可以。
  • 1
  • 2
  • 3
  • 4
  • 5
  • 1
  • 2
  • 3
  • 4
  • 5
平均得分0 (0 评价)
发表于 2020-4-12 22:11:49 | 显示全部楼层
我看不错。
  • 1
  • 2
  • 3
  • 4
  • 5
  • 1
  • 2
  • 3
  • 4
  • 5
平均得分0 (0 评价)
您需要登录后才可以回帖 思科 CCO 登录 | 思科 CCO 注册   

本版积分规则

Archiver | 思科社区  

GMT+8, 2020-8-7 20:20 , Processed in 0.087348 second(s), 40 queries .

京ICP备11014401号-17

© 2020 思科系统.版权所有 重要声明 | 保密声明 | 隐私权政策 | 商标 |

快速回复 返回顶部 返回列表