解析中间人攻击之一:ARP缓存中毒
来源:IT专家网 作者:邹铮
摘要:本系列将讨论最常被使用的中间人攻击形式,包括ARP缓存中毒攻击(ARP Cache Poisoning)、DNS欺骗(DNS Spoofing)、HTTP会话劫持等。…
图4:扫描主机
之前的空表格现在以及填满了所有连接网络上的主机名,以及MAC地址、IP地址以及供应商验证信息,这些是发动ARP缓存中毒攻击的有利信息。
在程序窗口的地步,你会看到一组标签,这些标签将引领你到嗅探器的其他窗口。现在你已经建立了主机列表,你需要从ARP标签开始,点击标签以切换到ARP窗口。
打开ARP窗口后,你会看到两个空表格:上表和下表。设置好这两个表格后,上表会显示ARP缓存中毒涉及的设备,下表会显示中毒机器间的所有通信。
点击程序的标准工具栏上的+符号的图标以继续设置ARP中毒,显示的窗口有并排两个选择列,在左侧,你会看到所有有效主机的列表。点击其中一个IP地址,你会看到,右边窗口显示的是网络中所有主机,而没有显示你所选择的IP地址。在右边窗口,点击另一个受害者的IP地址,然后点击确认。
图5:选择缓存中毒的攻击主机
这些设备的IP地址现在都被列在主要程序窗口的上表中,为了完成这个操作,请点击标准工具栏的黄黑色放射符号。这样将激活Cain & Abel的ARP缓存中毒功能并允许系统成为受害机器间所有通信的中间人。如果你很好奇背后发生的情况,可以安装wireshark并窃听接口,你很快会看到受害电脑间的通信。
图6:ARP通信注射
完成以上操作后,只要再次点击黄黑色发射符号就可以停止ARP缓存中毒。
防御ARP缓存中毒
从防御者的角度来看ARP缓存中毒攻击似乎处于不利的位置,ARP进程在后台进行,我们很难控制。并没有万能的解决方案,你可以采用主动和被动的立场来考虑ARP缓存中毒。