TLDR ARP毒害不会更改表中的IP dst,那么为什么在另一个IP地址下欺骗MAC可以帮助重定向流量?
我发现的任何视频都说明ARP中毒的目的是发送未经请求的消息以“覆盖”主机和路由器的ARP表,以便MitM攻击者的MAC地址与两者都关联,因此它们看起来像这样:
受害者:aa:bb:cc:dd:ee:ff(192.168.1.100)路由器:aa:bb:cc:dd:ee:ff(192.168.1.1)MitM机器:aa:bb:cc:dd:ee:ff (192.168.1.199)
这样,双方最终都发送给中间的人,然后将其转发到实际上有另一个MAC地址的端点192.168.1.199和192.168.1.1。
...我的问题是如何运作?如果您诱使这些设备将错误的MAC与正确的IP相关联,那么流量实际上是如何重新路由的?我的意思是我如何看待它是这样的:
受害者>到达192.168.1.1的路由器的数据包>到达路由器并打开数据包以发现MAC错误?
它通常称为ARP欺骗,但也称为ARP毒药路由(APR)或ARP缓存中毒。
ARP中毒不会更改表中的IP目的地,那么为什么在另一个IP地址下欺骗MAC可以帮助重定向流量?
集线器,交换机和路由器的Lan侧使用以太网数据帧中包含的MAC地址路由数据。
在攻击过程中,受害者IP地址的ARP表条目将包含攻击者的MAC地址。
当任何数据发送到受害者的IP地址或从受害者的IP地址发送时,它将被路由到攻击者的MAC地址。
ARP中毒的目的是发送未经请求的消息以“覆盖”主机和路由器的ARP表,以使MitM攻击者的MAC地址与这两者关联。
不,这是不正确的。
有关更多信息,请参见下面的下一步。
ARP欺骗是一种攻击,恶意行为者通过局域网发送伪造的ARP(地址解析协议)消息。这导致攻击者的MAC地址与网络上合法计算机或服务器的IP地址链接。
一旦攻击者的MAC地址连接到真实IP地址,攻击者将开始接收旨在用于该IP地址的任何数据。
ARP欺骗可以使恶意方拦截,修改甚至阻止传输中的数据。ARP欺骗攻击只能在使用地址解析协议的局域网上发生。
源Veracode ARP欺骗
ARP欺骗攻击通常遵循类似的进程。ARP欺骗攻击的步骤通常包括:
攻击者打开ARP欺骗工具,并将工具的IP地址设置为与目标IP子网匹配。流行的ARP欺骗软件的示例包括Arpspoof,Cain&Abel,Arpoison和Ettercap。
攻击者使用ARP欺骗工具扫描目标子网中主机的IP和MAC地址。
攻击者选择其目标,然后开始通过LAN发送ARP数据包,其中包含攻击者的MAC地址和目标的IP地址。
当LAN上的其他主机缓存欺骗的ARP数据包时,这些主机发送给受害者的数据将转给攻击者。从这里,攻击者可以窃取数据或发起更复杂的后续攻击。
源Veracode ARP欺骗
攻击者可能选择检查数据包(间谍),同时将流量转发到实际的默认网关以避免发现,在转发数据之前修改数据(中间人攻击),或者发起拒绝服务通过丢弃网络上的部分或全部数据包来进行攻击。
来源Wikipedia ARP欺骗
本文收集自互联网,转载请注明来源。
如有侵权,请联系 [email protected] 删除。
我来说两句