ARP欺骗原理
在以太网中,网络设备之间通信使用MAC地址而非IP地址,当主机A要与主机B通信时,A会发送一个包含源IP、源MAC、目的IP、目的MAC的ARP请求包到广播地址,B收到后回复一个ARP应答包,告知A自己的MAC地址,A将此信息保存在ARP缓存表中。
ARP欺骗就是通过伪造IP地址和MAC地址实现,攻击者向电脑A发送伪造的ARP响应,告诉A电脑B的IP对应的MAC地址是攻击者的MAC地址;同时向电脑B发送伪造的ARP响应,告诉B电脑A的IP对应的MAC地址也是攻击者的MAC地址,这样,A和B之间的通信流量就都被攻击者控制,攻击者可以选择被动监测流量获取信息,也可以伪造数据改变通信内容。
DNS劫持原理
DNS即域名系统,用于将域名和IP地址相互映射,当用户访问如www.baidu.com时,会向本地DNS服务器发出请求查询IP地址,若本地DNS服务器没有缓存记录,就会向根服务器发起查询,依次得到com域服务器、baidu.com授权域名服务器的地址,最终得到www.baidu.com的IP地址并返回给用户,同时在本地建立DNS缓存表。
DNS劫持通常是在ARP欺骗成功的基础上进行,攻击者嗅探到目标主机发出的DNS请求数据包,分析取得ID和端口号后,向目标发送自己构造好的DNS返回包,目标主机收到后,发现ID和端口号正确,就会把返回数据包中的域名和对应IP地址保存进DNS缓存表中,而后来的真实DNS应答包则会被丢弃,从而实现将特定域名解析到攻击者指定的IP地址上。
ARP欺骗与DNS劫持的实现步骤(以Kali Linux为例)
| 步骤 | 命令或操作 | 说明 |
|---|---|---|
| 准备工作 | 安装相关工具,如aptget install dsniff(包含arpspoof等工具)、ettercap等 |
确保系统中有进行攻击所需的工具 |
| ARP欺骗 | arpspoof i <网络接口> t <受害者IP> <网关IP> |
例如arpspoof i eth0 t 192.168.1.100 192.168.1.1,向受害者IP为192.168.1.100的主机发送伪造的ARP响应,将其网关IP对应的MAC地址伪造成攻击者的MAC地址,实现ARP单向欺骗;若想进行双向欺骗,还需对网关进行类似操作,并开启IP转发功能(修改/proc/sys/net/ipv4/ip_forward中的值为1) |
| DNS劫持 | 编辑/etc/ettercap/etter.dns文件,添加DNS记录,如* A <攻击者IP地址>,表示将所有域名解析到攻击者指定的IP地址;然后在ettercap中开启DNS劫持插件(Manage Plugins >dns_spoof)并开始攻击 |
使被攻击者访问任何网站时,域名解析都指向攻击者指定的IP地址 |
防范措施
- 网络设备层面:配置静态ARP表,绑定IP和MAC地址的对应关系,防止ARP欺骗;启用交换机的端口安全功能,限制MAC地址学习数量和学习速率,防止非法MAC地址接入。
- 主机层面:用户定期清理DNS缓存,避免缓存中的虚假记录导致访问错误;安装防火墙软件,设置合理的规则,阻止可疑的ARP包和DNS请求;尽量使用HTTPS协议访问网站,由于其加密特性,即使被劫持,攻击者也难以获取通信内容。
相关问题与解答
问题1:为什么进行了ARP欺骗和DNS劫持的配置,但浏览器访问某些网站还是正常解析到了真实IP? 解答:可能的原因有以下几种,一是DNS劫持的配置不正确,例如在etter.dns文件中配置的格式错误、未正确加载配置文件等;二是目标主机的DNS请求没有被攻击者成功拦截,可能是ARP欺骗没有完全成功,目标主机仍能正常与真实网关通信;三是浏览器或系统有DNS缓存,之前访问该网站时已缓存了正确的DNS记录,未及时清除缓存。
问题2:如何检测网络中是否存在ARP欺骗和DNS劫持攻击?
解答:可以使用一些网络监控工具来检测,在Windows系统中,使用arp a命令查看本地的ARP缓存表,检查是否有异常的IP MAC地址对应关系;对于DNS劫持,可以在命令行中使用nslookup命令查询域名的解析结果,对比正常情况下的解析结果,看是否被重定向到了其他IP地址,还可以使用网络抓包工具如Wireshark,抓取网络中的ARP包和DNS请求、应答包,
