arpspoof+wireshark进行arp攻击并分析报文

arp是将IP地址转换为mac地址的协议。局域网内的信息交换要基于mac地址进行，所以在同一个局域网内的机器A想要和机器B通讯，它就得通过arp协议获取B的mac地址。
过程：A在局域网中发送广播请求，请求中包含B的IP地址，当B监听到此请求，它就发送一个响应，响应中包含B的mac地址，A收到该响应，就会跟响应中的mac地址进行通讯。
注意这里只要局域网内有机器发送了响应，机器A就认为是机器B发送的，而不会去校验。arp攻击就针对这种漏洞进行攻击，攻击者会分别对机器A和机器B的arp请求进行响应，在A和B之间充当一个中间人，从而监听A和B的通讯。

---

一. 攻击平台

操作系统

KALI LINUX

攻击软件

1. arpspoof
   进行arp攻击，在网络中发送伪造的arp请求和响应。
2. wireshark
   网络报文分析工具，查看被攻击者的网络通讯情况。

二. 步骤

2.1. 扫描局域网主机

netdicover -r 192.168.1.0/24

扫描当前局域网，获取目标的IP地址和网关IP地址

netdisover.png

2.2. arp攻击

2.2.1. 开启内核路由转发功能

echo 1 >> /proc/sys/net/ipv4/ip_forward

2.2.2. 使用arpspoof开启攻击
通过 man arpspoof 可以看该命令的详细信息，此处不赘述。

arpspoof -i eth0 -t 192.168.1.124 -r 192.168.1.1

• -i 指定进行arp攻击的网卡
• -t 目标主机IP
• -r 进行双向攻击

• 最后为网关的IP地址

  
  
  arpspoof.png

截图即为arpspoof在发送伪ARP响应。

2.3. 分析被攻击者网络报文

打开wireshark 并选择使用arp进行攻击的网卡。

wireshark1.png

在过滤选择器中过滤出目标IP的网络报文

wireshark2.png