APR攻击（Arpspoof）

Posted 2023-05-06

参考技术A (这个月的文章还没有写~~emmm好吧，过了12点，已经是新的一月了，害pia被骂，所以现在赶紧写文章（PS：求饶命）

ARP即地址地址解析协议，即ARP协议通过IP地址来查找主机的MAC地址，把IP地址转换为MAC地址。ARP攻击又称为中间人攻击，是一种在局域网中常用的攻击手段。

在实验之前我们首先要知道ARP断网攻击是局域网攻击，我们要保证目标主机必须和自己处于一个局域网内，且自己和目标主机网络应该是通的

在ARP断网攻击之前 ，我们先用fping探测该局域网中的存活地址

探测到的存活地址，就是我们的目标主机

我们在攻击之前先看一下目标机的arp缓存

目标主机能ping通百度，说明目标主机的网络环境没问题，下面我们开始断网攻击，用到的是kali里面的一个工具，arpspoof

在攻击之前，目标主机的网络是通的，攻击成功后，目标主机断网“请求超时”

在攻击结束后，目标主机网络恢复

ARP欺骗，是让目标主机的流量经过主机的网卡，再从网关出去，而网关也会把原本流入目标机的流量经过我。

在进行arp欺骗之前，我们要先开启本机的IP转发功能，如果不开启的话，我们攻击之后会使目标机断网，而不是欺骗。

下面我们开始对目标主机进行欺骗

我们用图片嗅探工具driftnet来捕获目标主机查看的图片

因为我们欺骗目标机，使目标机的流量经过自己的网卡，所以这里我们嗅探自己的网卡，下图成功ARP欺骗

下图是攻击后目标机的arp缓存

emmmmm 就先到这里吧 一晚上没睡好 饭也没吃，肚子咕咕叫，先觅食去~

arpspoof与其他几款工具的使用

arpspoof 是一款进行arp欺骗的工具

arpspoof -i 网卡 -t 目标ip 默认网关

如果kali没有进行IP转发  那么目标就会因为配置错网而导致断网 这就是所谓的arp断网攻击

开启IP转发:echo 1 >/proc/sys/net/ipv4/ip_forward

关闭IP转发:echo 0 >/proc/sys/net/ipv4/ip_forward

查看IP转发是否成功:cat /proc/sys/net/ipv4/ip_forward  如果显示1则表示开启成功,显示0则开启失败

开启IP转发后 流量会经过kali的主机而后再去到目标 所以这时开启arpspoof 那么目标就不会断网

因为流量通过了kali主机那么我们就可以做点手脚了

比如:

获取目标主机正在访问的图片-->工具 arpspoof 和 driftnet 

driftnet用法: driftnet -i 网卡 

在开启路由转发后 开启arpspoof 因为流量通过了kali主机 我们就可以用driftnet获取在流量中的图片 

 

 

会话劫持-->工具 arpspoof 和 wireshark , ferret, hamster

wireshark  抓包工具
ferret  将.pcap文件转换问.txt给hamster使用
hamster 重新释放流量

1.开启ip转发和arpspoof

2.用wireshark抓包并报存到/root/目录(文件格式为.pcap)->在命令行直接输入wireshark即可打开工具

3.用 cd 切换到/root/目录 用ferret将wireshark保存的.pcap格式文件转换为txt文件

ferret用法: ferret -r .pcap格式文件 

4.用hamster重放流量

hamster用法: hamster  -h

5.在浏览器中设置代理127.0.0.1:1234 然后访问127.0.0.1:1234 

如果在浏览器下方出现目标ip则成功 反之失败

点击那个标签 浏览器左边就会出现很多url 这些就是目标访问的网站  点击这些url 就可以了

~~~~~

 

 

获取目标http账号密码

1.开启ip转发和arpspoof

2.开启ettercap

 

Ettercap -Tq -i 网卡

 

如果目标登录了某网站 那么我们可以获取他的账号密码了