arp欺骗实战

arp欺骗原理

arp欺骗基于arp协议，当请求主机需要访问另一个网段的主机时，需要检查相应的arp缓存表中有无对应的ip与mac地址，若没有，请求主机则会在网段中广播arp请求报文，当网关收到arp请求报文后，会单播发送arp回应报文来告诉请求主机网关的mac地址，当请求主机收到arp回应报文后，会在arp缓存表中记录相应的ip与mac地址，然后直接访问网关，网关再去访问下一个网段

主机型arp欺骗：主机型arp欺骗是把攻击主机伪装成网关，让被攻击主机误认为攻击主机为网关，向攻击主机发送请求，此时被攻击主机将会被丢包，无法访问网络

网关型arp欺骗：网关型arp欺骗是把攻击主机伪装成被攻击主机，让网关误认为是攻击主机发送的访问请求，网关则会向攻击主机发送请求的回应，此时攻击主机则能收到回应的信息，攻击主机还能更改相应的回应信息然后再放行此信息回到被攻击主机

实战准备

两台同一网段的虚拟机
（本试验采取centos7作为被攻击主机
kali作为攻击主机）

实战过程

首先我们先检查两台虚拟机的ip和mac地址
终端指令：ifconfig


kali ip：192.168.87.128
kali mac：00:0c:29:01:71:79

centos ip：192.168.87.129
centos mac：00:0c:29:f5:89:eb
明显kali与centos同一网段

然后我们需要知道网关的ip和mac
查看arp缓存表
指令：arp -a


网关（gateway）ip：192.168.87.2
网关mac：00:50:56:fb:50:82

攻击主机、被攻击主机和网关的ip与mac已经掌握

下一步，我们需要验证两台主机是否能够相互通信
指令：ping 192.168.87.128
ping 192.168.87.129


发现能ping通，毕竟在同一个网段，
同样的方式，再用两台主机ping网关（192.168.87.2）同样能ping通，这里不再重复

我们需要再用被攻击机ping百度，来验证其是否能够上网

被攻击机可以上网

然后我们需要在攻击机上用到arpspoof工具来进行伪装网关
命令：arpspoof -i eth0 -t 192.168.87.128（被攻击机ip） 192.168.87.2（网关ip）

此时，攻击机向被攻击机发送arp请求报文，修改了被攻击机arp缓存表的攻击机的ip对应的mac地址，改为了网关的mac地址

此时被攻击机无法ping通百度也就无法上网，其发送的访问请求都被攻击机所拦截

接下来我们观察一下被攻击机的arp缓存表

我们发现网关的mac和攻击机的mac是一样的，说明arp欺骗成功

我们停止欺骗
命令 ：ctrl+c
此时攻击机不在伪装，返回自己正确的mac地址给被攻击机的arp缓存表，被攻击机重新能够上网
再来看一下此时的被攻击机的arp缓存表

终止欺骗后，网关mac和攻击机mac不再一样

arp欺骗缺陷

arp欺骗存在局限性，仅能在局域网进行，无法对外网进行攻击