arpspoof 欺骗 以及防御措施

arpspoof通过伪造arp回复包将局域网中主机A（或者所有主机）的网路包重定向到主机B。

Version: 2.4

Usage: arpspoof [-i interface] [-c own|host|both] [-t target] [-r] host 

说明：

-i 指定攻击机网络接口（网卡名称）。

-c own|host|both 

-t 指定arp攻击的目标。如果不指定，则目标为该局域网内的所有机器。

-r 希望拦截攻击机和哪个host之间的通信，一般都是网关。

arpspoof -i 网卡 -t  网关 目标ip

 

路由转发

在攻击前首先开启路由转发功能，否则会导致目标ip无法接收数据

开启IP转发:echo 1 >/proc/sys/net/ipv4/ip_forward
关闭IP转发:echo 0 >/proc/sys/net/ipv4/ip_forward

查看IP转发是否成功:cat /proc/sys/net/ipv4/ip_forward 

 

 

附：arpspoof成功后实时查看被攻击者浏览的图片

 

图片捕获工具Driftnet

driftnet是一款简单而使用的图片捕获工具，可以很方便的在网络数据包中抓取图片。该工具可以实时和离线捕获指定数据包中的图片。

语法： driftnet   [options]   [filter code]

参数：

 -b                   捕获到新的图片时发出声音

-i  interface     选择监听接口

-f  file              读取一个指定pcap数据包中的图片

-p                    所监听的接口不使用混杂模式

-a                    后台模式：将捕获的图片保存到目录中（不会显示在屏幕上）

-m                   number 指定保存图片数的数目

-d                    directory  指定保存图片的路径

-x                    prefix  指定保存图片的前缀名

 

实例： driftnet -i wlan0

 

 

 

 

 

 

 

 

 

 

 

应对arp欺骗的措施

 

ARP攻击时的主要现象：

1、网银、游戏及QQ账号的频繁丢失
一些人为了获取非法利益，利用ARP欺骗程序在网内进行非法活动，此类程序的主要目的在于破解账号登陆时的加密解密算法，通过截取局域网中的数据包，然后以分析数据通讯协议的方法截获用户的信息。运行这类木马病毒，就可以获得整个局域网中上网用户账号的详细信息并盗取。
2、网速时快时慢，极其不稳定，但单机进行光纤数据测试时一切正常
当局域内的某台计算机被ARP的欺骗程序非法入侵后，它就会持续地向网内所有的计算机及网络设备发送大量的非法ARP欺骗数据包， 阻塞网络通道，造成网络设备的承载过重，导致网络的通讯质量不稳定。
3、局域网内频繁性区域或整体掉线，重启计算机或网络设备后恢复正常
当带有ARP欺骗程序的计算机在网内进行通讯时，就会导致频繁掉线，出现此类问题后重启计算机或禁用网卡会暂时解决问题，但掉线情况还会发生。

 

解决思路

不要把你的网络安全信任关系建立在IP基础上或MAC基础上。
设置静态的MAC-->IP对应表，不要让主机刷新你设定好的转换表。
除非必要，否则停止ARP使用，把ARP做为永久条目保存在对应表中。
使用ARP服务器。确保这台ARP服务器不被黑。
使用"proxy"代理IP传输。
使用硬件屏蔽主机。
定期用响应的IP包中获得一个rarp请求，检查ARP响应的真实性。
定期轮询，检查主机上的ARP缓存。
使用防火墙连续监控网络等。

 

 

对于局域网管理者

一、建立MAC数据库，把局域网内所有网卡的MAC地址记录下来，每个MAC和IP、地理位置统统装入数据库，以便及时查询备案。

二、建立DHCP服务器（建议建在网关上，因为DHCP不占用多少CPU，而且ARP欺骗攻击一般总是先攻击网关，网关一般也会有监控程序，另外所有客户机的IP地址及其相关主机信息，只能由网关这里取得，网关这里开通DHCP服务，还要给每个网卡，绑定固定唯一IP地址。一定要保持网内的机器IP/MAC一一对应的关系。这样客户机虽然是DHCP取地址，但每次开机的IP地址都是一样的。

三、网关监听网络安全。网关上面使用TCPDUMP程序截取每个ARP程序包，写一个脚本分析软件分析这些ARP协议。ARP欺骗攻击的包一般有以下两个特点，满足之一可视为攻击包报警：第一以太网数据包头的源地址、目标地址和ARP数据包的协议地址不匹配。或者，ARP数据包的发送和目标地址不在自己网络网卡MAC数据库内，或者与自己网络MAC数据库 MAC/IP 不匹配。发现之后第一时间报警，查这些数据包（以太网数据包）的源地址（也有可能伪造），就大致知道那台机器在发起攻击了。

第四、网关机器关闭ARP动态刷新的过程，使用静态路由，这样即使攻击者使用ARP欺骗攻击网关，对网关也会无效，确保主机安全。

网关建立静态IP/MAC捆绑的方法是：建立/etc/ethers文件，其中包含正确的IP/MAC对应关系，格式如下：

192.168.2.32 08:00:4E:B0:24:47

/etc/rc.d/rc.local

arp -f

 

 

对于被攻击的个人

一、命令 arp –d       重新尝试上网，如果能恢复正常，则说明此次掉线可能是受ARP欺骗所致。
注：arp -d命令用于清除并重建本机arp表。arp –d命令并不能抵御ARP欺骗，执行后仍有可能再次遭受ARP攻击

 

二、采用双向绑定解决和防止ARP欺骗。在电脑上绑定路由器的IP和MAC地址

首先，获得路由器的内网的MAC地址
编写一个批处理文件rarp.bat内容如下：
@echo off
arp -d
arp -s 网关IP 网关MAC

让这个文件开机运行