公共WIFI的安全隐患——ARP欺骗及中间人攻击

今天我要向大家介绍一种非常典型的局域网攻击手段 - ARP攻击。ARP攻击又称为ARP欺骗或ARP毒化，常见的ARP欺骗方法有两种。一种是通过修改远程计算机ARP缓存表中的网关MAC地址为一个虚假或不存在的地址，使得受到欺骗的计算机无法上网。另一种方法是通过修改远程计算机中ARP缓存的网关地址为攻击者的MAC地址，并同时修改网关设备上ARP缓存中远程计算机的MAC地址为攻击者的MAC地址，从而使两者的流量都流经攻击者的机器。后一种方法常用于中间人攻击。一旦中间人攻击成功，劫持了目标的上网流量，后果将十分严重。因为所有流量都经过攻击者，轻则监控目标的上网行为，就如同二十四小时站在你身后看你上网；或者劫持目标的cookie，从而用目标的账号登录诸如微博、百度、优酷等网站，浏览其隐私数据，进行发贴删贴等操作；更有可能进行钓鱼攻击，使目标下载恶意程序或执行恶意脚本，从而威胁我们的计算机安全。因此，在生活中我们也要注意不要在公共WIFI下浏览涉及重要隐私的网站，以免遇到不怀好意的人在局域网中，从而威胁我们的信息安全。

1. 具体实验过程

具体的中间人攻击实验大体上可以分为以下几个步骤：

1.1 对目标主机进行ARP欺骗，声称自己是网关。

1.2 转发目标的NAT数据到网关，维持目标的外出数据。

1.3 对网关进行ARP欺骗，声称自己是目标主机。

1.4 转发网关的NAT数据到目标主机，维持目标的接收数据。

1.5 监听劫持或修改目标的进入和外出数据，从而实现攻击。

2. 前期环境准备

• 攻击端信息：

• 操作系统：Kali Linux

• IP地址：192.168.11.3

• 靶机信息：

• 操作系统：Windows 7

• IP地址：192.168.11.128

3. 实验过程

首先使用nmap扫描同一局域网下的活跃主机情况，可以看到此时靶机和攻击端处于同一局域网环境下。

扫描结果如下：

下面进行ARP欺骗，没有进行ARP欺骗前靶机是能够上网的。

靶机PING通百度：

靶机访问百度：

攻击端开启ARPspoof进行ARP欺骗：

开启ARP欺骗后，靶机已经不能连接到互联网。

靶机断网。

接下来对靶机进行中间人攻击，使用嗅探工具Ettercap对目标主机进行ARP欺骗，并将数据流量转发到本机。

首先打开Ettercap：

打开Ettercap的图形界面之后点击sniff，选择unified sniffing，然后根据自己的要求选择要抓包的网卡。

使用Ettercap中的扫描主机，选择host list列出扫描出的主机：

扫描主机，此时会看到靶机和攻击端都在其中，选择靶机192.168.11.128的IP地址，点击ADD To target1添加到目标1，然后选择目标网关的IP地址192.168.11.2，点击add to target2添加到目标2，成功添加被攻击目标：

选择中间人攻击方式，欺骗靶机192.168.11.128，攻击端192.168.11.3才是网关，使得192.168.11.128的主机把所有的数据流量都发给攻击机，然后抓取HTTP包，截获密码。设定攻击方式后，我们选择“Mitm-arp poisoing”–“sniff remote connections”-确定：

开始中间人攻击。现在可以看到靶机的ARP地址表已经被篡改，MAC地址已经被篡改。下面我们开启攻击端的流量转发并且验证，查看是否为1（已经转发）。

目标主机的ARP缓存表被篡改之后，其经过网关外出的数据流将会发送到攻击者的主机。此时由于目的地址出错，目标主机对外的请求将无法到达，无法访问互联网。为了维持目标正常上网，需要在收到目标发来的数据时将其进行转发到真正的网关。

首先开启端口转发，允许本机像路由器一样转发数据：

开启流量转发。

使用Ettercap-NG + driftnet截获目标主机的图片数据流。

靶机访问网络页面。

攻击端截取到浏览的图片。

通过这个实验，我想告诉大家不能忽视身边的潜在威胁，要时刻注重自己的信息安全，避免信息泄露，提高防范意识，懂得在开放的网络环境中保护自己。随着国