九维团队-红队（突破）| 我的信息怎么泄露了？（ARP欺骗...

mxsillusion

原帖地址：https://mp.weixin.qq.com/s?__biz ... e8343acbb61916b7#rd

​九维团队-红队（突破）| 我的信息怎么泄露了？（ARP欺骗知识科普）原创 dave.li [url=]安恒信息安全服务[/url] 2022-05-25 16:27 发表于北京
收录于合集
#九维技术团队95个
#红队25个

​

编辑


前言

安服的小伙伴们平时做渗透，肯定会遇到这样一个漏洞，敏感信息明文传输，很多小伙伴认为明文传输能存在什么问题呢？今天笔者就为大家简单科普一下ARP欺骗。如果网站的数据传输没有加密，很容易被黑客嗅探哦。


官方话解释ARP欺骗

什么是ARP欺骗呢？它是针对以太网地址解析协议（ARP）的一种攻击技术，通过欺骗局域网内访问者PC的网关MAC地址，使访问者PC错以为攻击者更改后的MAC地址是网关的MAC，导致网络不通。

此种攻击可让攻击者获取局域网上的数据包甚至可篡改数据包，且可让网络上特定计算机或所有计算机无法正常连线。


安全工程师的ARP欺骗

对于上边的官方解释，大家读后可能还是会觉得比较懵，笔者在此用一个较为通俗易懂的例子来给大家解释一下。

假设你需要给你的朋友寄出一封信，但两人的距离比较远。于是，你给邮政打了一个电话，说自己需要寄信，请其上门取件。

正巧这时某个你不熟悉的邻居路过你家门口，得知你要用邮政寄信，处于某种目的打起了小算盘。邻居找到了酷似邮政工作人员的服装，进行一番精心伪装后来到你家门口，对你说自己是邮政的，收到了你要寄信的请求就来取信件了。

由于邻居穿着工作服，且自己确实联系过邮政，于是不加怀疑地就把信交给了邻居。邻居收到信后，偷看完你的信件内容后，在楼下等待真正的邮政工作人员上门，代替转交后邮政帮你寄到目的地。

这样一来你的信件确实到达了目的地，但信的内容其实被截获了。假如你的邻居看你不爽，把你的信给改了，本来是一封表达A事件的信件，结果被改成B事件的内容，你还不知道怎么回事。

朋友给你回信以后，因为是邻居代寄，所以邮政的回信也会先交给你的邻居，你的邻居永远知道你的信件秘密。这个过程就相当于是ARP欺骗攻击。


理论联系现实

再回到网络的世界，我们都知道，电脑上网需要IP地址、网关等等，那么这些有什么用呢？IP地址就是我们在网络世界中的门牌号，通过IP地址，就可以知道是谁在通信，谁在说话。

网关又有什么用呢？网关的作用就是流量转发，大家可以理解为邮政的工作人员（这里是指正经而非伪装的工作人员），正规的工作人员非常有职业道德，不会看你们的信件，安全给你送到目的地。但相反假如你不幸遇到了ARP欺骗，那就真的欲哭无泪了。


光说不练假把式，真刀真枪干一场

下面就通过实验为大家演示一下ARP欺骗：

拓扑图：

​                         编辑

图上的PC1就是受害者，hacker则是攻击者。

​

编辑

​

编辑

网关与掩码一致，在同一局域网，互相能通。
​编辑

在正常通信的时候，数据会直接交给网关。

​编辑

测试1：
未进行ARP欺骗时，让PC1远程登录服务器，hacker开启抓包，看能否获取数据。

测试流程：
PC1通过Telnet登录远程服务器，模拟发信。
Hacker开启wireshrk抓包。
首先在PC1上看一下正常的ARP缓存表：
​编辑

没有攻击之前，一切正常。
Hacker开启抓包：
​编辑

PC1使用telnet远程登录：
​编辑

返回hacker看看是否捕捉到数据包：

​

编辑

没有获取到任何内容。

测试2：
hack上进行ARP欺骗：

​

编辑

扫描到主机和网关：

​

编辑

欺骗132，“我是网关”（此处就相当于上边例子讲过的邻居已经换好了邮政快递的衣服，来到你家门口，告诉你他是邮政的工作人员）。

再看缓存表：
​编辑

你会发现，缓存表变了。


安服仔上课时间

网络协议是OSI七层参考模型，物理层就有一个物理地址，也称为MAC地址，网络层就是我们的IP。

ARP（地址解析协议）的工作原理：
主机A的IP地址为192.168.1.1，MAC地址为0A-11-22-33-44-01；主机B的IP地址为192.168.1.132，MAC地址为0A-11-22-33-44-02。

当主机A要与主机B进行通信时，地址解析协议可以将主机B的IP地址（192.168.1.2）解析成主机B的MAC地址（0A-11-22-33-44-02），以下为工作流程：

第1步：根据主机A上的路由表内容，IP确定用于访问主机B的转发IP地址是192.168.1.2。然后主机A在自己的“本地ARP缓存”中，检查主机B的匹配MAC地址。

第2步：如果主机A在ARP缓存中没有找到映射，它将询问主机B（192.168.1.2）的MAC地址，从而将“ARP请求包”广播到本地网络上的所有主机。

源主机A的“IP地址和MAC地址”都包含在“ARP请求包”中。本地网络上的每台主机都会接收到ARP请求，并且检查该“ARP请求包”请求的IP地址，是否与自己的IP地址匹配。如果主机发现请求的IP地址与自己的IP地址不匹配，它将丢弃ARP请求。

第3步：主机B确定ARP请求中的IP地址与自己的IP地址匹配，则将主机A的“IP地址和MAC地址”映射添加到“本地ARP缓存表”中。

第4步：主机B将包含自己MAC地址的ARP回复消息，直接发送回主机A。

第5步：当主机A收到从主机B发来的ARP回复消息时，会把主机B的“IP地址和MAC地址”映射更新到“本地ARP缓存表”中。这样，主机B的“MAC地址”一旦确定，主机A就可以和主机B进行通信了。

ARP转换映射表，是依赖于计算机中“高速缓冲存储器”动态更新的，而“高速缓冲存储器”的更新，是受到更新周期的限制的，只能保存最近使用的“地址映射的关系表项”，这使得攻击者有了可乘之机，可以在“高速缓冲存储器”更新表项之前，修改ARP转换映射表，以实现攻击。

​编辑

*该图来源于互联网


重点来了

让我们再回到刚才的实验里。我们的ARP缓存表变了，虽然数据还是发送给13.2，但是这个13.2是黑客伪装的，此时再通信，数据就是发给伪装的13.2，也就是13.133。

再次Telnet远程登录：

​

编辑

回到hack，发现已经精准捕捉数据：

​

编辑

​                         编辑

​                         编辑

因为telnet基于TCP明文传输，因此会直接被攻击者获取。所以大家知道为什么明文传输也算是漏洞了吗？
​