ARP欺騙的原理及復現

文章來自【位元組脈搏社區】作者-purplet

社區網址：www.ityo.cn；歡迎你的加入

攻擊機kali

（1）IP地址：192.168.194.157

（2）硬體地址：00:0c:29:46:aa:16(注意)

（3）網關：192.168.194.2

靶機win7

（1）IP地址：192.168.194.129

（2）硬體地址：00:0c-29-14-bb-36

（3）網關：192.168.194.2

網關

（1）IP地址：192.168.194.2

（2）硬體地址：00:50:56:fa:bc:2c（注意）

在正常情況下查看下靶機ARP表，如下

當訪問一個外網地址：「www.baidu.com」的時候，這時會首先將數據包交給網關，再由網關通過各種路由協議送到「www.baidu.com」

設置的網關地址為192.168.194.2，按照ARP表中對應的硬體地址為00:50:56:fa:bc:2c，這樣所有數據包都發往這個硬體地址了

現在只需要想辦法修改靶機的ARP表中的192.168.194.2表項即可，因為ARP中規定，主機只要收到一個ARP請求之後，不會去判斷這個請求的真偽。就會直接將請求中的IP地址和硬體地址添加到ARP表中。如果之前有了相同的IP地址的表項，就對其進行修改，這種方式稱為動態ARP表

ARP欺騙復現

使用kali中的arpspoof工具

這個工具的使用格式：arpspoof [-i 指定使用的網卡] [-t 要欺騙的主機] [-r] 要偽裝成的主機

下面使用這個工具完成一次網路欺騙

現在收到欺騙的主機192.168.194.129就會把192.168.194.157當作網關，從而把所有數據都發送到這個主機，此時的ARP表如下

仔細看此時的物理地址都變為了攻擊機kali的物理地址

這時我們便可以用wireshark進行查看，靶機訪問的網頁資訊，但是此時攻擊機也不會將這些數據包轉發到網關，靶機此時無法正常上網（這裡忘記截圖了），所以需要在攻擊機上開啟轉發功能，首先再另開一個終端

root@kali:~# echo 1 >> /poc/sys/net/ipv4/ip_forward

此時靶機中的數據可以被截獲，同時靶機也可以正常上網，從而無法察覺到被攻擊

當攻擊停止，查看靶機中的ARP表會發現靶機中的網關物理地址也恢復正常，但會將攻擊機的ip及物理地址記錄下來

完成