ARP(地址解析协议)欺骗通常是中间人(MITM) 攻击的初始阶段,攻击者可以通过毒害目标设备上的 ARP 缓存来拦截和修改网络流量。ARP 是一种用于将 IP 地址映射到本地网络上的物理地址(MAC 地址)的协议。在 ARP 欺骗攻击中,攻击者向目标设备发送虚假的 ARP 消息,将自己的 MAC 地址与网络上合法设备的 IP 地址关联起来。这允许攻击者拦截和修改发往合法设备的网络流量。
ARP欺骗攻击通常与其他类型的攻击结合使用,例如DNS欺骗,SSL剥离等。这些攻击可用于窃取敏感信息,发起网络钓鱼攻击。
下面的视频演示了如何使用 Android 应用程序检测 ARP 中毒。
它是如何工作的?
地址解析协议 (ARP):在计算机网络中,设备使用 ARP 根据 IP 地址查找另一台设备的物理地址(MAC 地址)。这就像问“谁有这个电话号码?”,得到的答案是“我有,这是我的地址。”
攻击:在 ARP 欺骗中,恶意人员(攻击者)向您的网络发送虚假的 ARP 消息。这些消息会欺骗您的设备,使其认为攻击者的设备是他们想要通信的设备。
结果:您的设备将数据发送给攻击者的设备而不是预期的接收者。
使用智能手机检测 ARP 欺骗
ARP Guard(WiFi 安全)是一款免费的 Android 应用,旨在保护用户免受 ARP 欺骗。该应用会在后台默默监控网关的 MAC 地址。如果发生事件,它会通过弹出通知窗口通知用户。
图 1. 检测到 ARP 欺骗时通知用户
图 2. ARP 中毒之前(左)和之后(右)
该应用程序成功识别了具有伪造网关 MAC 地址的攻击。
工作原理如下
1.检测和通知:该应用程序持续监控您的网络是否存在可疑的 ARP 活动。如果检测到攻击,它会立即通过振动、声音和通知通知您。
2.三种保护模式:
警告模式:提醒您有关潜在的攻击。
无敌模式:使用静态网关地址使您的设备免受 ARP 欺骗(需要根访问权限)。
恢复模式:帮助在受到攻击后恢复您的网络设置。
3.自动关闭 WiFi:在非 root 模式下,当检测到攻击时,应用程序可以自动关闭 WiFi,防止进一步的损害。
图 3. 攻击者信息显示其 MAC 地址和 IP 地址
手动识别攻击
所有提到的攻击都是基于 ARP 中毒和欺骗。识别这些攻击并不困难。有两种方法可以识别它们:使用拘留工具自动识别或手动识别。从自动检测开始,对计算机和网络进行此类攻击分类的最简单方法是使用可以检测 ARP 中毒并阻止它的桌面安全软件。
可以通过命令行或Termux应用程序在桌面和 Android 设备上使用arp -a命令进行手动分析。在图 4 中,您可以看到 ARP 中毒开始之前和之后的命令结果。从输出中可以看出,两个相同的 MAC 地址代表网络上的两个不同 IP 地址,这是一个可能正在进行 ARP 中毒攻击的强烈信号。
图 4. 投毒前后的 ARP 条目
防止 ARP 欺骗的其他技巧
虽然 ARP Guard 提供了保护,但这里还有一些其他提示可以增强您的网络安全:
使用静态 ARP 条目:在您的设备上配置静态 ARP 条目,以防止它们接受未经请求的 ARP 回复。
启用数据包过滤:使用路由器上的数据包过滤规则来阻止来自不受信任来源的 ARP 数据包。
网络分段:将您的网络划分为更小的、独立的部分,以限制攻击的蔓延。
定期监控:定期监控您的网络流量,查找可能表明存在 ARP 欺骗尝试的异常模式。
通过将 ARP Guard 与这些预防措施结合使用,您可以显著降低 ARP 欺骗攻击的风险并保护您的网络免受恶意行为者的攻击。
在哪里使用它?
公共或不可信的 Wi-Fi 网络。
结论
使用 ARP Guard(WiFi 安全)等 Android 应用是保护智能手机免受 ARP 中毒攻击的一种实用且有效的方法。此应用提供实时监控和警报,帮助您及时检测和应对可疑的网络活动。
除了使用 ARP Guard 之外,遵循最佳实践也很重要,例如保持设备更新、使用强密码以及在连接公共 Wi-Fi 网络时保持谨慎。结合这些措施将显著增强您的整体网络安全并保护您免受潜在的网络威胁。
感谢您抽出
.
.
来阅读本文
点它,分享点赞在看都在这里