ARP欺骗

ARP欺骗原理

ARP协议

ARP(Address Resolution Protocol地址解析协议)，是根据网络地址(即IP地址)获取物理地址(即MAC地址)的协议

ARP通信过程

主机发送信息时将包含目标IP地址的ARP请求广播到局域网络上的所有主机，并接收返回消息，以此确定目标的物理地址；收到返回消息后将该IP地址和物理地址存入本机ARP缓存中并保留一定时间，下次请求时直接查询ARP缓存以节约资源。

ARP协议缺陷

地址解析协议是建立在网络中各个主机互相信任的基础上的，局域网络上的主机可以自主发送ARP应答消息，其他主机收到应答报文时不会检测该报文的真实性就会将其记入本机ARP缓存。

ARP欺骗原理

根据上面所说的协议缺陷，我们可以向某主机发送自己伪造的网关的ARP响应包，把其中的MAC地址改为自己的MAC地址，这样该主机本应向网关发送的流量就会发送到自己的电脑上，如果本机没开IP转发功能的话相当于ARP断网攻击，如果开了IP转发功能且同时欺骗了被攻击主机和网关则相当于ARP中间人攻击。中间人攻击可以查看被攻击主机的所有流量，也可以用driftnet来查看被攻击主机所查看的图片。

ARP欺骗实操

环境

攻击主机A:Kali2020 ip：10.0.0.27

被攻击主机B:win10 ip：10.0.0.26

网关C的ip：10.0.0.1

物理机中ipconfig：

虚拟机kali中ifconfig：

探测局域网中的主机fping -g 10.0.0.1/24：

首先进行ARP断网攻击，所以要IP转发功能，Linux因为系统安全，默认不支持IP转发，其配置文件在/proc/sys/net/ipv4/ip_forward 默认0为关，修改1为开

攻击前先查看物理机arp缓存表并且检查是否联网：

实操

开始攻击：kali中arpspoof -i eth0 -t 10.0.0.26 10.0.0.1。其中-i表示interface(网络接口)即为网卡,-t后面加需要攻击的主机IP和网关IP。执行命令，Kali会不停地向主机B发送ARP响应包，响应包的内容是Kali的mac地址，而响应包里的ip则是网关主机ip地址。每一行代表一个响应包。从左到右：自己Kali的mac、主机B的mac、帧类型码(0806，代表ARP包)、包大小、包内容。

攻击后再在物理中查看arp缓存表： 可以看到网关的mac地址已经被改为了kali的mac地址，arp断网攻击成功

可以看到ping不通了，断网了。

ARP中间人攻击：

1.打开kali的IP转发功能(echo 1 > /proc/sys/net/ipv4/ip_forward)

2.arpspoof -i eth0 -t 10.0.0.26 -r 10.0.0.1

-i interface 指定要使用的接口（即指定一块网卡）

-t target 指定一个特殊的、将被ARP毒化的主机（如果没有指定，则认为是局域网中所有主机）。重复可以指定多个主机。

-r用来毒化两个主机（目标和网关（host））以捕获两个方向的网络流量。（仅仅在和-t参数一起使用时有效）

3.攻击成功后，可以抓包来看流量，另外可以用driftnet来查看被攻击主机所浏览的图片

driftnet -i eth0:

但是我一直获取不到图片，不知道哪里出了问题，若有大佬知道，恳求联系我并告知原因

遇到的问题

物理机ping不通虚拟机

经过google之后，发现重启vm8的网卡即可

桥接模式不显示IP,虚拟机ping不通物理机

虚拟机的网络适配器选择桥接模式，然后在打开虚拟网络编辑器，点击更改设置，然后将自动改为个人局域网，然后应用，然后再改回自动，应用确定之后即可。并且每次启动虚拟机都要这样设置，感觉很玄学

ARP欺骗防御

防御原理很简单，就是不让攻击者肆意表明自己就是网关主机。我们进入网关主机（路由器后台地址），网络参数一栏一般有ip与mac绑定一栏，把网关的mac地址与网关地址绑定就好了。只要确定了对应关系，当攻击者发布arp相应包时，就不会更新相应的ip-mac缓存表。

如果想知道对方主机的ip地址其实也容易。我们在Cmd下键入命令arp -a看一下相同mac，就找到了攻击者。

总结

公共区域的wifi存在钓鱼风险

在传输数据过程中尽量使用加密程序