使用Wireshark檢測ARP欺騙

本文描述了一種稱為ARP欺騙的攻擊，並解釋了如何使用Wireshark捕獲它。

想像一下，一個老電影里的反派和他的下屬正在通過電話交談，英雄攔截了這個電話來聆聽他們的談話的完美中間人（MITM）的場景。現在將此擴展到網路，攻擊者攔截兩台計算機之間的通信。

以下是關於攻擊者可以對攔截流量做出什麼的兩種可能性：

1.被動攻擊（也被稱為竊聽或只監聽流量）：這些可以顯示明文（未加密）登錄ID和密碼等敏感信息。

2.主動攻擊：這些修改流量，可以用於重播，欺騙等各種類型的攻擊。

可以針對密碼系統，網路等發起MITM攻擊。在本文中，我們將討論限制為使用ARP欺騙的MITM攻擊。

ARP欺騙

納粹德國宣傳部長約瑟夫·戈培爾（Joseph Goebbels）名言：「如果你說出一個足夠大的謊言並不斷重複，人們終將會相信它。只有在國家能夠保護人民免受謊言的政治、經濟和/或軍事後果的情況下，謊言才能得以維持。因此變得至關重要的國家使用它的所有權力來壓制異議，真理是謊言的死敵，因此通過擴展,事實是國家的最大的敵人。

因此，讓我們從ARP協議的角度來解釋臭名昭著的納粹政權的領導人的這句話：如果反覆告訴設備一個特定的MAC地址屬於哪個設備，設備最終會相信你，即使情況不是這樣。 而且，只要你不斷地告訴設備，設備就會記住這個MAC地址。 因此，不保護ARP緩存對網路安全是危險的。

注意：從網路安全專業人士的角度來看，絕對有必要不斷監測ARP流量，並將其限制在一個門檻以下。 許多管理型交換機和路由器可以配置為監視和控制低於閾值的ARP流量。

一個MITM攻擊是很容易理解的使用語境。攻擊者試圖監聽任意兩台設備之間的通信，比如受害者的計算機系統和路由器，將通過發送主動提供的ARP請求（這意味著發送出去的ARP應答數據包未收到ARP請求），將發起ARP欺騙攻擊 回復具有以下源地址的數據包：

向受害者的計算機系統：路由器IP地址和攻擊者的PC MAC地址;

向路由器：受害者的計算機IP地址和攻擊者的PC的MAC地址。

在連續收到這樣的報文後，由於ARP協議的特性，路由器和受害者的PC的ARP緩存將中毒如下：

路由器（Router）：攻擊者的PC的MAC地址，以受害者的IP地址進行註冊;

受害者的PC：攻擊者PC的MAC地址，與路由器的IP地址相對應。

Ettercap工具

ARP欺騙是最常見的MITM攻擊類型，可以使用Linux下的Ettercap工具啟動（http://ettercap.github.io/ettercap/downloads.html）。 一些網站聲稱擁有Windows可執行文件。 雖然我從來沒有測試過這些。 你可以在任何Linux發行版上安裝這個工具，或者使用發行版，比如捆綁了它的Kali Linux。

該工具具有命令行選項，但其GUI更容易，可以使用以下命令啟動：

圖1：Ettercap菜單

圖2：ARP中毒成功

在以下序列中使用Ettercap菜單(圖1)啟動MITM ARP欺騙攻擊(圖1)(斜體顯示Ettercap菜單):

嗅探是統一的嗅探，並選擇要嗅探的介面（例如，eth0為有線網路）。

主機掃描主機。它會掃描所有活躍在eth0網路IP地址。

主機列表顯示掃描的主機列表。

將所需的主機添加到Target1和Target2。將執行ARP欺騙攻擊，以讀取在Target1和Target2下選擇的所有主機之間的通信。

目標給出當前目標。驗證了正確目標的選取。

中間人ARP中毒：嗅探遠程連接將開始進攻。

成功的攻擊可以被證實如下：

在路由器中，檢查ARP緩存（對於Cisco路由器，命令是顯示IP ARP）。

在受害者PC中，使用ARP命令。圖2給出了成功的ARP欺騙攻擊前後的命令的輸出。

圖3:Wireshark捕獲攻擊者的pc - arp包

圖 4: Wireshark 捕獲攻擊者 pc-從受害者 pc 和路由器嗅出的數據包

攻擊者PC使用Wireshark捕獲流量來檢查未經請求的ARP回復。 一旦攻擊成功，兩個目標之間的交通也將被捕獲。 要小心，如果來自受害者PC的流量包含明文身份驗證數據包，則可能會顯示憑據。

請注意, 一旦攻擊成功, Wireshark 會在 Info 列下檢測到信息, 如重複使用 IP。

這裡是如何實際的數據包傳播和捕獲後, 成功的 ARP 中毒攻擊:

當來自受害者 PC 的數據包開始用於路由器時 , 在第 2 層 , 攻擊者的中毒 mac 地址 ( 而不是原始的路由器 mac )被插入到目標 mac ;因而數據包到達攻擊者個人計算機。

攻擊者看到了這個數據包，並將其轉發到具有正確MAC地址的路由器。

來自路由器的回復在邏輯上被發送到攻擊者系統的欺騙目的地MAC地址（而不是受害者的PC）。 它被攻擊者捕獲並轉發給受害者的PC。

在這之間，運行在攻擊者PC上的嗅探器軟體Wireshark讀取這個流量。

以下是防止ARP欺騙攻擊的各種方法：

在Linux上監控arpwatch日誌

在Windows和Ubuntu上使用靜態ARP命令如下:

1.Windows：arp -s DeviceIP DeviceMAC

2.Ubuntu：arp -i eth0 -s DeviceIP DeviceMAC

控制管理型交換機上的ARP報文

圖5：Wireshark捕獲過濾器

MITM ARP欺騙能否得到有效的使用？

非也！考慮在交換環境中捕獲懷疑有惡意軟體（病毒）感染的系統的數據包。 有兩種方法可以做到這一點 - 使用竊聽或MITM ARP欺騙。 有時候，你可能沒有方便的竊聽，或者可能不希望系統在連接竊聽所需的時間內離線。 在這裡，MITM ARP欺騙肯定會達到目的。

注意：這種攻擊專門針對OSI第2層數據鏈路層; 因此，它只能在你的網路中執行。 請放心，這種攻擊不能用於坐在本地網路之外來嗅探你的計算機和你的銀行Web伺服器之間的數據包， 攻擊者必須在本地網路內。

在我們總結之前，讓我們了解一個重要的Wireshark功能，稱為捕捉過濾器。

在前面的文章中，我們已經完成了顯示過濾器的基礎知識。 但是，在繁忙的網路中，捕獲所有流量並使用顯示過濾器僅查看期望的流量可能需要很大的努力。 Wireshark的捕獲過濾器提供了一個出路。

在開始之前, 在選擇介面之前, 您可以單擊 "捕獲" 選項並使用捕獲篩選器只捕獲所需的通信量。單擊 "捕獲篩選器" 按鈕可查看各種篩選器, 如 arp、無 arp、僅 TCP、僅 UDP、來自特定 IP 地址的通信等。選擇所需的篩選器, Wireshark 將只捕獲已定義的通信。

例如, 可以使用來自捕獲篩選器的 arp 篩選器捕獲 MITM arp 欺騙, 而不是顯示篩選整個捕獲的通信。

更多閱讀：

課課家雲數據中心網路技術與設計視頻課程

用Wireshark解密https流量

課課家CCNP職業網路工程師認證課程-積累項目經驗視頻教程

喜歡這篇文章嗎？立刻分享出去讓更多人知道吧！