内网环境ARP欺骗与敏感信息嗅探实验教程

实验概述

本实验旨在通过Kali Linux工具在内网环境中实施ARP欺骗攻击，捕获目标主机与Web服务器之间的通信数据，从而获取敏感账户密码信息。

实验环境

• 攻击机: Kali Linux (192.168.199.111)
• 被攻击者: Ubuntu系统 (192.168.199.190)
• Web服务器: Windows Server 2003 (192.168.199.115)
• 所有主机通过桥接方式连接到同一内网

实验原理

ARP欺骗(ARP Spoofing)是一种通过伪造ARP响应包来篡改目标主机的ARP缓存表的技术。攻击者通过将自己伪装成网关或其他主机，使目标主机的网络流量经过攻击者主机，从而实现中间人攻击(MITM)，进而嗅探敏感信息。

实验步骤详解

1. 启用IP转发功能

在Kali Linux上执行以下命令启用内核IP转发：

# 检查当前IP转发状态
cat /proc/sys/net/ipv4/ip_forward

# 启用IP转发(将0改为1)
echo 1 > /proc/sys/net/ipv4/ip_forward

说明: IP转发功能允许Kali主机将接收到的数据包转发到正确的目的地，这对于维持网络连接不被目标主机察觉至关重要。

2. 实施ARP欺骗

使用arpspoof工具进行ARP欺骗：

arpspoof -i eth0 -t 192.168.199.190 192.168.199.111

参数解释:

• -i eth0: 指定使用的网络接口
• -t 192.168.199.190: 目标主机(被攻击者)
• 192.168.199.111: 伪装成的IP地址(攻击者自身)

实际效果: 该命令使目标主机(192.168.199.190)误认为攻击者(192.168.199.111)是网关，从而将所有外发流量发送到攻击者主机。

3. 启动流量嗅探

在另一个终端窗口中使用Ettercap进行流量捕获：

ettercap -Tq -i eth0

参数解释:

• -T: 使用文本界面模式
• -q: 静默模式(减少输出)
• -i eth0: 指定网络接口

4. 模拟受害者操作

在Ubuntu(被攻击者)主机上：

1. 打开浏览器访问Web服务器(192.168.199.115)
2. 在登录页面输入用户名(admin)和密码(password)
3. 点击登录按钮

5. 捕获并分析敏感信息

在Ettercap运行终端中，将显示捕获到的HTTP POST请求，其中包含明文传输的用户名和密码：

HTTP : 192.168.199.190 -> 192.168.199.115
POST /login.php HTTP/1.1
...
username=admin&password=password

关键知识点

1. ARP协议漏洞: ARP协议本身无认证机制，任何主机都可以发送ARP响应包
2. 中间人攻击原理: 通过将自己置于通信双方之间，实现流量拦截
3. 明文协议风险: HTTP等非加密协议传输的敏感信息极易被嗅探
4. 防御措施:
   • 使用静态ARP表
   • 部署ARP防护软件
   • 采用HTTPS等加密协议
   • 网络分段隔离

实验扩展

1. SSLstrip攻击: 针对HTTPS连接的降级攻击
2. DNS欺骗: 结合ARP欺骗实施DNS缓存投毒
3. 会话劫持: 获取会话cookie后冒充合法用户

注意事项

1. 本实验仅限授权环境下的学习研究
2. 实际网络环境中实施此类攻击可能违反法律
3. 企业内网应部署ARP防护措施
4. 重要服务应强制使用加密通信

实验总结

通过本实验，我们掌握了在内网环境中利用ARP协议缺陷实施中间人攻击的基本方法，了解了明文协议传输敏感信息的风险，以及相应的防御策略。这有助于安全人员更好地理解内网威胁并制定有效的防护措施。