arp欺骗断网攻击以及流量转发

场景描述

在虚拟机环境下配置 “Win7”和“Kali Linux”虚拟系统，使得2个系统之间能够相互通信，网络拓扑如图所示

实验环境

1. 软件：VMware Workstations14以上版本
2. 虚拟机：Kali-Linux、Windows 7

1. 打开虚拟机：启动kali-linux 启动windows7（未装补丁）
2. 获取IP地址（ifconfig、ipconfig）
   Kali-Linux ：192.168.245.128
   Windows 7： 192.168.245.130
   在虚拟机环境下配置 “Win7”和“Kali Linux”2个虚拟系统，使得虚拟系统之间能够相互通信。

实验步骤

具体攻击实现
　　具体的中间人攻击，大体上可以分为以下几个步骤：

1. 对目标主机进行ARP欺骗，声称自己是网关。
2. 转发目标的NAT数据到网关，维持目标的外出数据。
3. 对网关进行ARP欺骗，声称自己是目标主机。
4. 转发网关的NAT数据到目标主机，维持目标的接收数据。
5. 监听劫持或者修改目标的进入和外出数据，从而实现攻击。

其中1，3都是ARP欺骗；2，4都是转发，下面会分别说到

具体实施

1、断网攻击实施步骤

步骤1：在Win7中，在命令提示符中输入命令“ipconfig /all”查看自身的MAC地址和网关IP地址，下面第一张图所示。然后输入命令“ arp –a”查看ARP缓存表中的网关MAC地址，下面第二张图所示。

步骤2：在kali终端中，输入命令“ifconfig”，查看kali的IP地址与MAC地址，如图所示。

主机扫描

方法1：执行ping扫描最简单的方法是使用工具fping，fping使用ICMP ECHO一次请求多个主机，对当前局域网还存在那些主机进行快速扫描，以确定要攻击的主机的ip地址。

fping -a -g 192.168.254.0/24 > result
#使用fping工具扫描了192.168.254.0/24网段内的所有主机，并将扫描结果输出到result文件中。其中，-a参数表示只输出活动的主机，-g参数表示扫描整个网段
>result 表示把扫描到存活主机保存到result上

第一行为网关第二行为攻击者第三行为目标ip

方法2：执行nmap -sP 192.168.254.0/24，扫描网络中活跃的主机。（推荐使用）

-sP 选项表示只利用ping扫描进行主机发现，不进行端口扫描
-sS 进行TCP的半开放扫描，如果禁ping的时候可以使用这个参数
注：用nmap进行主机扫描速度快，而且能穿透防火墙，是比较可靠的扫描工具。

步骤5 arpsoof

arpspoof 是一款进行arp欺骗的工具，攻击者通过毒化受害者arp缓存，将网关mac替换为攻击者mac，然后攻击者可截获受害者发送和收到的数据包，可获取受害者账户、密码等相关敏感信息。
注意：
运行 arpspoof 命令时提示：arpspoof未找到命令，其原因是你还未安装 arpspoof 工具；
arpspoof 是 dsniff 的一个附属工具，所以我们需要安装的是 dsniff ：使用以下命令安装dsniff：apt-get install dsniff
步骤5-1：更换更新源为阿里云，原有的更新源加#号注释
#vim /etc/apt/sources.list
deb https://mirrors.aliyun.com/kali kali-rolling main non-free contrib
deb-src https://mirrors.aliyun.com/kali kali-rolling main non-free contrib

步骤5-2：修改完成后执行apt-get update命令完成更新

步骤5-3：重新安装命令，apt-get install dsniff

步骤6：断网攻击：arpspoof -i eth0 -t 192.168.254.130 192.168.254.2

arp欺骗成功前后对比
192.168.245.128（攻击者ip） 192.168.254.2（网关）可以看到他们的物理地址由不同变相同

攻击结果
在没有打开流量转发时可以看到一旦攻击者运行arpspoof -i eth0 -t 192.168.254.130 192.168.254.2就无法连接百度了（断网攻击）

流量转发

查看cat /proc/sys/net/ipv4/ip_forward显示结果为零则不允许流量转发因此我们用echo 1 >/proc/sys/net/ipv4/ip_forward
改为1则允许流量转发

这里显示为1后我们就可以转发流量不会让目标主机断网，这样目标主机不易察觉异常我们就可以进行后序的入侵行为