使用wireshark进行arp欺骗检测

想要检测arp欺骗，就必须再次温习一下arp欺骗的原理和细节。

ARP欺骗（英语：ARP spoofing），又称ARP毒化（ARP poisoning，网上上多译为ARP病毒）或ARP攻击，是针对以太网地址解析协议（ARP）的一种攻击技术，通过欺骗局域网内访问者PC的网关MAC地址，使访问者PC错以为攻击者更改后的MAC地址是网关的MAC，导致网络不通。此种攻击可让攻击者获取局域网上的数据包甚至可篡改数据包，且可让网上上特定计算机或所有计算机无法正常连线。

ARP欺骗的运作原理是由攻击者发送假的ARP数据包到网上上，尤其是送到网关上。其目的是要让送至特定的IP地址的流量被错误送到攻击者所取代的地方。因此攻击者可将这些流量另行转送到真正的网关（被动式数据包嗅探，passive sniffing）或是篡改后再转送（中间人攻击，man-in-the-middle attack）。攻击者亦可将ARP数据包导到不存在的MAC地址以达到阻断服务攻击的效果，例如netcut软件。

ARP欺骗的特征就是不断的发arp包，让被攻击主机相信并修改arp表。

那么我们使用wireshark开启混杂模式后，只需抓取arp类型的包，看密集程度。一旦出现攻击态势，我们可快速对攻击和被攻击双方进行定位。

打开wireshark：

一切正常。

下面我们打开ettercap进行arp欺骗，细节不再赘述。

打开wireshark：

可以看到，被欺骗的目标主机不断询问，但得到的结果都是攻击机的ip，使得攻击机实现了中间人攻击的目的，且双方的细节内容都可被查看。

 

继续加油。