取消
显示结果 
搜索替代 
您的意思是: 
cancel
3300
查看次数
10
有帮助
4
评论
suzhouxiaoniu
Spotlight
Spotlight
关于ARP欺骗(中间人)攻击
203646s2mjz2plzlyaip2h.jpg
正常情况下,PC2想访问互联网,需要知道网关的MAC地址,这个是缓存在本地的
C:\Users\Administrator>arp -a
接口: 192.168.1.8 --- 0xc
Internet 地址 物理地址 类型
192.168.1.1 e0-46-9a-6a-fb-16 动态
但是PC1是攻击者,使用软件发起ARP欺骗,首先我们来看如果有人执行ARP扫描,我们抓包的结果:
203805t88r2q49aqti1q11.png
在软件中执行ARP欺骗
203731qnqnxwo00nvcpsw0.png
PC2上验证欺骗结果
203822mq2vudydd0abujxw.png
此时PC发出大量ARP数据包,说自己的MAC对应192.168.1.1(伪造网关,实施欺骗)
为了防止网关欺骗,我们可以在终端上,把网关的MAC静态绑定到IP上,也就是创建静态的ARP条目
标准语句
arp -s 192.168.1.1 e0-46-9a-6a-fb-16
此时如果本机网卡比较多,包括很多虚拟网卡,会提示失败。所以我们还要选择绑定的网卡:
netsh -c i i show in 显示本机网卡编号
203909fddid353i3tn8ndo.png
本机有4个网卡,其中本地连接是物理网卡,编号是12
netsh -c i i add neighbors 12 192.168.1.1 e0-46-9a-6a-fb-16
主机上查看ARP条目
C:\Users\Administrator>arp -a
接口: 192.168.1.8 --- 0xc
Internet 地址 物理地址 类型
192.168.1.1 e0-46-9a-6a-fb-16 静态
删除绑定:
netsh -c "i i" del neighbors 12
备注:对于主机数量比较大的环境,比如企业环境,这种方法工作量比较大,而且也不能预防其非网关MAC地址的欺骗,这个可以对部分重点设备,比如网关、服务器进行保护,但是终端主机在公司一般都是动态获取的,此时需要更多的保护措施,比如ARP防火墙、端口安全、DAI等等。下篇再讨论。

评论
one-time
Level 13
Level 13
感谢小牛老师分享,谢谢~
l8310892118l
Level 1
Level 1
感谢楼主分享
likuo
Spotlight
Spotlight
这篇文章还可以。
likuo
Spotlight
Spotlight
我看不错。
入门指南

使用上面的搜索栏输入关键字、短语或问题,搜索问题的答案。

我们希望您在这里的旅程尽可能顺利,因此这里有一些链接可以帮助您快速熟悉思科社区:









快捷链接