arp欺骗

问题 源 作业所属课程 网络攻防实践 作业要求 https://edu.cnblogs.com/campus/besti/19attackdefense/homework/10553 课程目标 了解网络攻防的概要 这个作业在哪个具体方面帮助我实现目标 深入了解网络嗅探、网络协议的分析 作业正文.... 见后文 其他参考资料 见后文 目录 一、实践内容 TCP/IP网络协议栈攻击概述 网络安全属性(CIA) 网络攻击基本模式 TCP/IP网络协议栈安全缺陷与攻击技术 原始报文伪造技术及工具 网络层协议攻击 IP源地址欺骗 ARP欺骗 ICMP路由重定向攻击 传输层协议攻击 TCP RST攻击（TCP重置报文攻击） TCP会话劫持攻击 TCP SYN Flood拒绝服务攻击 UDP Flood拒绝服务攻击 二、实践过程 ARP缓存欺骗攻击 ICMP重定向攻击 SYN Flood攻击 TCP RST攻击 TCP会话劫持攻击。 三、学习中遇到的问题及解决 四、实践总结 五、参考资料 一、实践内容 TCP/IP网络协议栈攻击概述 网络安全属性(CIA) 机密性(C):保一般基于加密算法，来保证网络中的信息是被授权使用。 完整性(I):信息在存储使用的过程中保持不被修改，不被破坏。 可用性(A):当信息被需要时，能够正常的存取和访问， 真实性(A):确保通信对方是它所声称的真实实体。

目录 内容总结及实践过程 网络安全属性 网络攻击基本模式 网络接口层 互联层 传输层 应用层 IP 源地址欺骗 ARP 欺骗 ICMP 路由重定向攻击 TCP RST 攻击 TCP 会话劫持攻击 UDP Flood 拒绝服务攻击 实践作业 ARP 缓存欺骗攻击 ICMP 重定向攻击 SYN Flood 攻击 TCP RST 攻击 TCP 会话劫持攻击 学习中遇到的问题及解决 实践总结 参考资料 内容总结及实践过程 网络安全属性 名称 内容 机密性 网络中的信息不被非授权实体获取和使用，通常基于加密算法进行保障 完整性 信息未经授权不能进行改变的特性，即信息在存储和传输过程中保待不被修改、不被破坏和丢失的特性 可用性 指被授权实体访问并按需求使用的特性，即当需要时能够正常地存取和访问所需的信息与服务 真实性 确保通信对方是它所声称的真实实体，而非假冒实体 不可抵赖性 是指在通信中确保任何方无法抵赖自己曾经做过的操作的安全特性，包括对自己行为的不可抵赖及对行为发生时间的不可抵赖，有时也被称为不可否认性和可审查性 (Accountability) 网络攻击基本模式 在网络通信中，攻击者可以采取如下四种基本的攻击模式，包括 截获 、 中断 、 篡改 与 伪造 。 截获是一种被动攻击模式，其目的是获取网络通信双方的通信信息内容，是对机密性的违反，具体攻击技术为嗅探 (Sniffing)

《网络攻防实践》第五周作业 一、前言 这个作业属于哪个课程： https://edu.cnblogs.com/campus/besti/19attackdefense 这个作业的要求在哪里： https://edu.cnblogs.com/campus/besti/19attackdefense/homework/10553 我在这个课程的目标是：学习网络攻防相关知识，提升专业技能 这个作业在哪个具体方面帮助我实现目标：学习TCP/IP网络协议攻击的原理和实践 二、知识点总结 1.网络协议攻击及其基本概念 学习网络安全、信息安全首先应当铭记心中的是五大安全属性：机密性，完整性，可用性、真实性和不可抵赖性。我们所有的攻击或者防守都是围绕这五大安全属性来展开的。那么作为攻击方来说，通常有以下几种攻击模式： 截获：以嗅探与监听技术为基础的被动攻击模式，获取网络通信双方的通信信息内容。 中断：以拒绝服务技术为基础的主动攻击模式，使网络通信和会话无法进行。 伪造：以欺骗为基础的主动攻击模式，假冒网络通信方的身份，欺骗通信对方达到恶意目的。 篡改：包括数据包篡改，中间人攻等技术的击主动攻击模式，网络通信工程的信息内容进行篡改，使得通信一方或双方接收到虚假消息。 但是作为一个攻击者，我们还缺少了安全缺陷，有了安全缺陷，我们才可以实施攻击。通常有以下几种TCP/IP网络协议栈安全缺陷与攻击技术:

代码如下: # 1. 从命令行获取要欺骗的IP # 2. 获取IP对应的MAC地址 # 3. 定义MAC获取函数get_mac() # 4. 启动ARP欺骗 # 5. 定义ARP欺骗函数 # 6. 嗅探数据包 # 7. 定义cookie嗅探函数 # 8. 恢复靶机的ARP缓存 # 9. 定义ARP缓存恢复函数 from scapy . all import * import time from threading import Thread def main ( target_ip , gateway_ip ) : conf . verb = 0 # 2. 获取IP对应的MAC地址 target_mac = get_mac ( target_ip ) gateway_mac = get_mac ( gateway_ip ) # 4. 启动ARP欺骗 t = Thread ( target = poison_target , args = ( target_ip , target_mac , gateway_ip , gateway_mac ) ) # 当主线程结束时，子线程自动结束 t . setDaemon ( True ) t . start ( ) # 6. 嗅探数据包 sniff ( filter = "tcp port 80" , prn = packet

前言 在大一刚接触到kali linux的时候，第一个做的渗透就是wifi以及内网渗透，其中中间人攻击打开了我新世界的大门 虽说也学习了其原理是怎样的，但是知道得再多不如自己动手写一个。 时至今日，也该是时候给它“正身”了 ARP毒化原理 ARP协议 我们都知道在TCP/IP模型中，分为四个层次。 应用层 传输层 网络层 数据链路层 其中每一层各司其职，完成自己的任务后传递给下一层进行处理 忘了在哪看到的一句话，很在理 分层结构由于各层相互独立，给计算机网络安全带来的很大的隐患。但是我并没有说分层结构一无是处，相反，正是因为它，才能高速而有效率地处理数据、逻辑、事务，才能构成了我们的大千世界。这才是它的伟大之处。 在《TCP/IP卷一：协议》中，ARP协议被归为网络一层，而网上对ARP协议工作的层面还是有很大的争议，很大一部分人认为ARP是工作在数据链路层的。 ARP协议的作用是将IP地址和MAC地址一一映射起来。网络分为几个类 ―― 个域网，局域网，城域网，广域网，互联网。MAC地址作用于局域网寻址而IP地址作用于互联网寻址。所以在局域网内要找到对应的机器就得利用到MAC地址 在一个数据包在局域网传输时，一开始发送者它只知道应该发给哪个IP地址而不知道是对应哪个MAC地址，所以会向局域网里面广播，这个IP在哪个MAC地址，由于ARP协议

学校的校园网老是掉线，平均5分钟就要掉一次，而且要过个2分钟的样子才能重新连接起，真的让人很烦躁。朋友告诉我可以一个方法可以不再掉线，试了一下果然不错，在网上搜索了一下，学习了一下原理，现在写出来，让大家共享。 我们要访问一个网站，通常是在游览器里输入这个网站的网址，然后回车，这个时候，DNS服务器会自动把它解析成IP地址，实际上我们是通过IP来访问网站的，网址只不过是助记符罢了。那么在局域网中，以太网设备并不认识IP地址，所以还要将IP地址转换成MAC地址，ARP（Address Resolution Protocol）就是进行这种转换的协议。 因特网是通过TCP/IP进行信息交换的，所以要上网，必须安装TCP/IP协议，在每台安装了此协议的电脑里，都有一个ARP缓存表，表里的IP地址和MAC地址是一一对应的： IP 地址 MAC 地址 10.6.13.1 00-00-00-00-01 10.6.13.2 00-00-00-00-02 10.6.13.3 00-00-00-00-03 …… …… 当10.6.13.2要向10.6.13.1发送信息时，首先在ARP缓存表里查找是否有10.6.13.1的MAC地址，如果有，就直接进行通信，如果没有，就要在网络上发送一个广播信息，询问10.6.13.1的MAC地址，这时，其它电脑并不响应询问，只有10.6.13.1响应

这是我的学习总结，刚入坑网络安全，写的不好或者有什么错误的希望大佬们指正 首先了解ARP的作用以及原理： ARP（Address Resolution Protocol，地址解析协议）是一个位于TCP/IP栈中的网络层，负责将某个ip地址解析成对应的MAC地址，ARP协议的基本功能就是通过目标设备的IP地址，查询目标设备的MAC地址，以保证通信的进行，当然还有最重要的一点 它一般只能在内网进行，无法对外网（互联、非本区域内的局域网）进行攻击。 ARP攻击就是通过伪造IP地址和MAC地址实现ARP欺骗，能够在网络中产生大量的ARP通信量，攻击者只要持续不断的发出伪造的ARP响应包就能更改目标主机ARP缓存中的IP-MAC条目，造成网络中断或中间人攻击。攻击者向电脑A发送一个伪造的ARP响应，告诉电脑A：电脑B的IP地址192.168.100.2对应的MAC地址是00-aa-00-62-c6-03，电脑A信以为真，将这个对应关系写入自己的ARP缓存表中，以后发送数据时，将本应该发往电脑B的数据发送给了攻击者。同样的，攻击者向电脑B也发送一个伪造的ARP响应，告诉电脑B：电脑A的IP地址192.168.100.1对应的MAC地址是00-aa-00-62-c6-03，电脑B也会将数据发送给攻击者。至此攻击者就控制了电脑A和电脑B之间的流量，他可以选择被动地监测流量，获取密码和其他涉密信息

XX公司网络卡断问题 https://www.aliyun.com/product/cas?source=5176.11533457&userCode=kv73ipbs&type=copy 1. 问题现象 2017年XX公司机关网络出现几次异常情况，并寻求内外部专家对异常情况进行诊断分析，均未找到原因，具体情况如下： 1.XX分公司机关网络IP地址为10.0.0.1-10.0.0.254，上半年约有15台电脑出现不能上网现象，但是修改IP地址后可正常使用，约三四天后还需再修改IP地址才能正常使用，该现象大约持续2个月左右。 2.10月中旬，有一台电脑突然出现断网现象，经过修改IP地址后可以正常使用，目前再未出现问题。 3.9月、11月和12月共有三台电脑正在使用的时候突然断网，用笔记本电脑测试网线正常，IP地址配置正常，但是不能上网，最后更换网卡后，网络恢复正常。 4. 12月6号上午视频会期间网络出现闪断3次， 12月7号上午视频会期间网络出现闪断1次，下午闪断1次，12月8号上午视频会期间网络出现闪断2次，断网时间约在1分钟之内，然后网络自行恢复。 5.12月10日，业务运作部网络突然断开，重启交换机后，网络恢复，反复出现三次。 6. 9月21日，下午4点公司到分支机构的所有网络（包含高清监控）全部断开，持续到下午6点恢复，联通公司也未找到原因，但是高清视频监控一直卡顿严重

因为主机判断别的主机的网段时总是以自己的子网掩码来判断，所以可能导致误以为不同网段的主机与自己同网段，这个时候连接这两个的路由器就要开启代理arp，让路由器来给该主机的arp请求报文作出相应的arp应答。 本文转自https://blog.csdn.net/iteye_11541/article/details/82519824 概述:代理ARP是ARP协议的一个变种。对于没有配置缺省网关的计算机要和其他网络中的计算机实现通信，网关收到源计算机的 ARP 请求会使用自己的 MAC 地址与目标计算机的 IP地址对源计算机进行应答。代理ARP就是将一个主机作为对另一个主机ARP进行应答。它能使得在不影响路由表的情况下添加一个新的Router，使得子网对该主机来说变得更透明化。同时也会带来巨大的风险，除了ARP欺骗，和某个网段内的ARP增加，最重要的就是无法对网络拓扑进行网络概括。代理ARP的使用一般是使用在没有配置默认网关和路由策略的网络上的。 什么代理ARP:proxy ARP就是通过使用一个主机(通常为router),来作为指定的 设备 对另一设备的ARP请求作出应答。 工作原理: 图表 这个主机A要发送数据包到主机D。图表显示主机A使用的是16位掩码。（注意这一点！）主机A相信目的网段是直接连接在172.16.0.0上的。于是主机A直接发送一个ARP请求给目的站点。主机A

目录 总言 一、工具攻击 （一）目的 （二）平台及工具 （三）步骤及结果分析 1、准备工作 2、禁止上网攻击 3、定时IP冲突攻击 4、不断IP冲突攻击 5、总结 二、编码实现 （一）方案 （二）步骤及结果分析 1、建立工程、并配置winpcap。 2、查看宿主机和虚拟机IP地址和MAC地址。 3、代码： 4、攻击效果 5、结果分析 总言 首先使用攻击工具进行攻击，根据抓包结果，分析ARP欺骗实验的原理。然后根据原理，进行编码实现ARP欺骗攻击。 一、工具攻击 （一）目的 运行WinArpAttacker或Ettercap，扫描在线主机，对目标主机进行“禁止上网”、“IP冲突”等攻击，查看目标主机状态，通过WireShark等抓包工具，捕获ARP欺骗攻击的数据包，分析ARP攻击的原理。 （二）平台及工具 VMware、WinArpAttacker、WireShark。 （三）步骤及结果分析 本次工具攻击在VMware的两个桥接模式的虚拟机（虚拟机一和虚拟机二）上完成。在一台虚拟机上通过WinArpAttacker对另一台虚拟机进行了“禁止上网”、“定时IP冲突攻击”和“不断IP冲突”攻击，并通过WireShark抓包工具捕获ARP欺骗攻击的数据包，根据结果对ARP攻击的原理进行了分析。 1、准备工作 启动虚拟机，打开命令行程序cmd.exe，用ipconfig命令查看虚拟机IP信息