地址欺骗
理论
什么是MAC地址
MAC地址即介质访问控制地址,或称为MAC位址、硬件地址,用来确认网络设备的位置的位址,网卡的物理地址通常是由网卡生产厂家写入网卡的EPROM芯片中,芯片中的数据可以通过程序进行擦写。
借助MAC地址的惟一性和不易修改的特性,可以将具有MAC地址绑定功能的交换机端口只允许拥有特定MAC地址进行访问。而拒绝拥有其他MAC地址的网卡对该端口的访问。这种安全措施对小区宽带、校园网和无线网络尤其适合。另外,如果将MAC地址跟IP地址绑定则可以有效防止IP地址的盗用问题。
什么是IP地址欺骗
IP地址欺骗是指行动产生的IP数据包为伪造的源IP地址,以便冒充其他系统或发件人的身份。
IP地址欺骗原理:(TCP“三次握手”)
1)首先使被信任主机的网络暂时瘫痪,以免对攻击造成干扰;由于攻击者将要代替真正的被信任主机,他必须确保真正的被信任主机不能收到任何有效的网络数据,否则将会被揭穿。可以使用Dos攻击。
2)然后连接到目标机的某个端口来猜测ISN基值(初始序号)和增加规律;通过嗅探或者ARP欺骗,先发现目标机正在使用的序列号,再根据序列号机制,可以猜测出下一对SEQ/ACK序列号。
3)接下来把源地址伪装成被信任主机,发送带有SYN标志的数据段请求连接;
4)然后等待目标机发送SYN+ACK包给已经瘫痪的主机,该主机无法收到这个包
5)再次伪装成被信任主机向目标机发送ACK,此时发送的数据段为之前预测的目标机的SEQ+1;
6)连接建立,发送命令请求。
ARP欺骗原理
ARP欺骗的原理是由攻击者通过发送伪造虚假的ARP报文(广播或单播),来实现的攻击或欺骗。若虚假报文的MAC是伪造的不存在的,实现ARP攻击,结果为中断通信/断网;若虚假报文的MAC是攻击者自身的MAC地址,实现ARP欺骗,结果为可以监听、窃取、篡改、控制流量,但不中断通信。(中间人攻击)。
操作
MAC地址欺骗实验
打开命令提示符CMD
输入ipconfig –all命令
查看本机现在的MAC地址
打开“网络连接”下的“本地连接”的属性
点击配置“Microsoft 网络客户端”
进入设置
打开“高级”选项,并点击“Network Address”,修改其值
修改值之后查看MAC地址
发现MAC地址已经变成我们之前预设的值
IP欺骗实验
查看空的IP包,并设置目标IP地址
设置ttl。
设置源IP地址
不设置则为真实的IP地址,在这里设置为伪造的IP地址。
查看数据包。
发送数据包。
也可以嵌套其他协议
如TCP、Ether。嵌套之后使用默认值。
发送嵌套好协议的数据包。
ARP欺骗
查看被欺骗主机的IP地址
攻击主机的IP地址,确保是在同一局域网下
在攻击主机上开启网络转发功能
防止在进行ARP欺骗时,受欺骗主机不能上网
进行ARP欺骗攻击
在攻击主机上使用arpspoof攻击进行ARP欺骗攻击,此处伪装网关的IP地址
-i 为网卡接口的选择
-t 为受欺骗主机的IP地址
-r 为要伪装的IP地址
在攻击主机上使用ettercap工具监听eth0接口
欺骗主机操作
如,在被欺骗主机上访问具有登录页面的网址,并随机输入用户名和密码
在攻击主机上可以看到监听到的一些信息
原文始发于微信公众号(泷羽sec-何生安全):MAC/IP/ARP地址欺骗原理及实践
- 左青龙
- 微信扫一扫
-
- 右白虎
- 微信扫一扫
-
评论