通过ARP欺骗进行Wi-Fi窃听

ARP欺骗是局域网攻击的老套路了，通过ARP欺骗加抓包的方法基本可以监听一切局域网内的非加密流量，这里介绍一个不需要什么技术基础的方法。
​

原理解释

ARP欺骗攻击原理非常简单，通过发送虚假的ARP数据，将自身设备伪装成网关，让受害设备建立错误的IP-MAC映射，从而将数据发送给攻击者。通过ARP欺骗，我们可以在不接触受害设备的情况下进行攻击。
​

工具准备

Debookee: Mac平台上一款优秀的局域网嗅探软件
WireShark: 抓包软件，可以抓取通过网卡的一切数据包
​
​

ARP欺骗

Debookee有两个模式

• NA - Network Analysis Module
• WM - WiFi Monitoring Module
  ​
  这里我们主要用到的是NA模式，它的功能是实时监控和分析网络数据，另外可以对局域网其他设备进行ARP欺骗从而拦截转发其他设备的数据流量。它目前支持HTTP，DNS，TCP，DHCP，SIP，RTP（VoIP）协议。
  ​

1. 设备嗅探
   首先点击Start LanScan对局域网设备进行扫描

1.png

​

2. 设定ARP欺骗目标
   选择你想攻击的目标，点击Toggle Target，将它设置为目标。这里我的手机作为目标，监听它的活动。

2.png

​

3. 开始ARP欺骗
   点击Start NA，Debookee就会自动发起ARP请求，欺骗所选择的设备，这样我们就可以让目标的流量均通过我们的设备转发，从而实现中间人攻击。

3.png

通过图我们可以看到，设备所进行的网络请求已经都被我们所捕获。
​

通过WireShark获取更详细的信息

Debookee虽然能够查看网络请求，但是数据很简单，看不到详情，如果想看的每个请求的详情，我们需要借助WireShark来实现。这里我们捕捉手机上
/星尘盒子 for 300英雄/这款App的通讯流量作为例子。
​
同时打开Debookee和WireShark。WireShark中选择我们监听使用的网卡作为数据源。
首先看Debookee的监听结果

4.png

显然这个就是我们想获得的数据包，我们通过访问的域名，在DNS数据包中查询它对应的IP。

5.png

现在我们通过这些信息在WireShark中进行数据过滤
输入过滤器(源ip、目的ip、协议类型)
ip.src==192.168.1.4 && ip.addr==221.228.108.73 && http
![Uploading 6_148021.png . . .]
​
找到了我们要找的这个请求之后，我们需要追踪HTTP流

7.png

​
追踪完毕后，修改一下编码，被监听设备的网络请求内容就尽收眼底了

8.png