ARP渗透与攻防(二)之断网攻击
ARP断网攻击 系列文章 ARP渗透与攻防(一)之ARP原理
1. 环境准备
Kali作为ARP攻击机:
IP地址:192.168.110.26
MAC地址:00:0c:29:fc:66:46
Win10作为被攻击方:
IP地址:192.168.110.12
MAC地址:1c:69:7a:a4:cf:92
网关(路由器):
IP地址:192.168.110.1
MAC地址:e4:3a:6e:35:98:00
注意事项:两台主机需要在同一个局域网,并且网络通畅。
2. ARP断网攻击原理
ARP断网攻击的原理是:向目标主机不断发送ARP报文,并将报文中的网关MAC地址设置为攻击机的主机MAC地址。当目标主机想要访问网络发送数据包时,数据包会被发送到攻击机,然后攻击机只需执行丢弃数据包的命令,就可以断掉目标主机的网络连接。
3. arpspoof介绍
arpspoof是一个实用的ARP欺骗工具,攻击者通过毒化受害者的ARP缓存,将网关的MAC地址替换为攻击者的MAC地址,然后攻击者可以截获受害者发送和接收的数据包,从而获取受害者的敏感信息,如账户和密码等。Kali Linux中已经自带了该工具。
4. 具体攻击步骤
确保两台机器在同一局域网络下,并且可以相互通讯。
1.1 查看Kali的IP和MAC地址。
1.2 查看Windows的IP和MAC地址。
1.3 通过Windows ping Kali来保证网络通畅。
1.4 Win10查看ARP表,记录网关的信息。
Kali进行断网攻击
在这一步,Kali机会发起一个攻击,将Windows的ARP表中存储的网关MAC地址替换为Kali机的MAC地址,从而导致中间人攻击。此时,Windows访问外部网络不再通过网关转发,而是通过我们的攻击机进行转发。但由于Kali机没有开启路由转发功能,导致Windows机的流量虽然经过了Kali转发,但最终无法访问外网。
Win10查看网络连接和Kali的网络连接
可以观察到Windows无法ping通外部网络。
Win10查看此时的ARP表
Kali机结束断网攻击
Win10重新查看网络状态
可以看到Windows机器恢复了上网功能。
Win10重新查看ARP表
