每次提到ARP欺骗就惶恐?其实也不难,今天通过基础实验带你抓包分析抓包分析ARP欺骗(中间人)***



image.png


关于ARP欺骗(中间人)***


image.png

正常情况下,PC2想访问互联网,需要知道网关的MAC地址,这个是缓存在本地的。

C:\Users\Administrator>arp -a
接口:
192.168.1.8 --- 0xc
Internet 地址   物理地址              类型
192.168.1.1    e0-46-9a-6a-fb-16    动态

但是PC1是***者,使用软件发起ARP欺骗,首先我们来看如果有人执行ARP扫描,我们抓包的结果:


image.png

在软件中执行ARP欺骗


image.png

在PC2上验证欺骗结果


image.png

此时PC发出大量ARP数据包,说自己的MAC对应192.168.1.1(伪造网关,实施欺骗)

为了防止网关欺骗,我们可以在终端上,把网关的MAC静态绑定到IP上,也就是创建静态的ARP条目

标准语句

arp -s 192.168.1.1  e0-46-9a-6a-fb-16

此时如果本机网卡比较多,包括很多虚拟网卡,会提示失败。所以我们还要选择绑定的网卡:

netsh -c i i show in    显示本机网卡编号


image.png

本机有4个网卡,其中本地连接是物理网卡,编号是12

netsh -c i i add neighbors 12 192.168.1.1 e0-46-9a-6a-fb-16

主机上查看ARP条目

C:\Users\Administrator>arp -a
接口:
192.168.1.8 --- 0xc
Internet 地址   物理地址              类型
192.168.1.1    e0-46-9a-6a-fb-16    静态

删除绑定:

netsh -c "i i" del neighbors 12

备注:对于主机数量比较大的环境,比如企业环境,这种方法工作量比较大,而且也不能预防其非网关MAC地址的欺骗,这个可以对部分重点设备,比如网关、服务器进行保护,但是终端主机在公司一般都是动态获取的,此时需要更多的保护措施,比如ARP防火墙、端口安全、DAI等等。下篇再讨论。