arp攻击实验（一）用一条指令让对方瞬间无法上网

【前言】

本实验主要是利用局域网主机在进行2-3层通信时，协议上的漏洞。利用ARP欺骗，造成局域网内主机通信的失败。

本文摘自：泰泰博客：www.taitaiblog.com,更多相关资源可访问该网站。

实现原理

其主要原理是局域网内的"攻击机"通过冒充同网络号下的"受害者主机"的物理地址（mac地址），通过欺骗网关，让网关原来应该发给“受害者主机”的数据包转而发给“攻击机”，这就导致了“受害者主机”无法收到应答的数据包，也就等于断网了。本实验的过程也就是常说的  ARP欺骗。

演示操作

实验环境：

本实验将在虚拟机中完成（实际效果与真实主机效果无异）：

1.  win7 系统主机一台     （被断网的主机）

2.  kali 系统主机一台       （控制别人断网的主机）

要求： 两主机的网络需在同一局域网内，否则无法实现。

操作指令：

· fping -asg 网络号/子网掩码         # 查看内网在线主机

· arpspoof -i eth0 -t 目标IP 网关IP       # ARP欺骗

第一步：

先自行检查两台主机是否均能连接到公网（也就是是否可以正常连接到互联网）。

第二步：

取得 win 7 上的 ip 地址 和网关地址，本实验获得如下：

· ip地址： 192.168.135.131

· 网关地址： 192.168.135.2

第三步（可忽略）：

目的：查看同一局域网内当前在线的主机情况：

结合操作指令和第3部的情况，这里输入：

fping -asg 192.168.135.0/24

 

可见运行命令后，后台就会给我们查找当前网络内在线的主机，这里一共找到了3个，分别是：网关、kali、win7的ip地址。

终止查找： ctrl+c

第四步：

在查找到网内在线的主机后，就可以选择一个作为攻击的目标了，这里以 win7 为受害主机，攻击如下：

arpspoof -i eth0 -t 192.168.135.131 192.168.135.2

此时，程序会一直在执行。目的在于不断的“告诉”网关，我（攻击机）就是它（网关）要找的目标用户，你要把数据包发给“我”。此过程主要是为了防止网关知道自己受骗了（也就是ARP表更新回正确状态了）。

注意：实验过程中不要退出该命令。

第五步（验证）：

此时再次到win7上测试网络，如无特殊情况，win7 已经无法连接到互联网了，状态如下：

至此，实验就结束了。

如果想让 win 7 恢复上网，只需终止刚才第四步操作的命令即可。用 ctrl+z 终止。

如何防御

解决方案：只需在网关中添加一条固定（静态）的arp关系即可！