1. 首先假設被害方的ARP表不知道攻擊方的資訊只知道閘道的資訊
2. 攻擊者送arp_request問對方mac address是多少,做開始進行攻擊之前的資訊蒐集
( 這邊是直接寫一個ARP封包程式並設定Request送給受害方來得到mac address,也可以使用[ IPSeizer ] 是一種應用程式供下載使用,可以直接掃出同網域內的使用者ip和mac address )
3. 被攻擊者收到arp_request也會增加攻擊者的ip和mac address到arp_table(實驗確認用~)
4. 本來被攻擊者可以上網(開始觀察攻擊行為)
5-1. 開始攻擊
( 攻擊者送出arp_reply封包給受害方,而網路服務封包被送往攻擊者接收 )
5-2. 被攻擊者的arp_table閘道被更改mac address後不能上網 (封包往攻擊者過去)
6-1. 這是第二部分的觀察,設定攻擊者的電腦可以轉送封包
( Linux kernel環境下可以做轉發封包的設定 )
6-2. 送過來的封包轉送到本來的閘道路由器方向
6-3. 被攻擊者雖然封包流往攻擊方,但封包只經由攻擊方再到達閘道出去,因此不會斷網而達到竊聽封包的功能
以上是一種ARP網路攻擊的探討,由於是在VMware裡面設定NAT的網路架構,因此攻擊行為都在本機上操作不會影響到實體區域網路,請以學術用途為主,千萬別實際運用在實體網路上,是非法行為!
沒有留言:
張貼留言