ARP欺骗的原理及复现

文章来自【字节脉搏社区】 作者-purplet

社区网址：www.ityo.cn；欢迎你的加入

攻击机kali

（1）IP地址：192.168.194.157

（2）硬件地址：00:0c:29:46:aa:16(注意)

（3）网关：192.168.194.2

靶机win7

（1）IP地址：192.168.194.129

（2）硬件地址：00:0c-29-14-bb-36

（3）网关：192.168.194.2

网关

（1）IP地址：192.168.194.2

（2）硬件地址：00:50:56:fa:bc:2c（注意）

在正常情况下查看下靶机ARP表，如下

当访问一个外网地址：“www.baidu.com”的时候，这时会首先将数据包交给网关，再由网关通过各种路由协议送到“www.baidu.com”

设置的网关地址为192.168.194.2，按照ARP表中对应的硬件地址为00:50:56:fa:bc:2c，这样所有数据包都发往这个硬件地址了

现在只需要想办法修改靶机的ARP表中的192.168.194.2表项即可，因为ARP中规定，主机只要收到一个ARP请求之后，不会去判断这个请求的真伪。就会直接将请求中的IP地址和硬件地址添加到ARP表中。如果之前有了相同的IP地址的表项，就对其进行修改，这种方式称为动态ARP表

ARP欺骗复现

使用kali中的arpspoof工具

这个工具的使用格式：arpspoof [-i 指定使用的网卡] [-t 要欺骗的主机] [-r] 要伪装成的主机

下面使用这个工具完成一次网络欺骗

现在收到欺骗的主机192.168.194.129就会把192.168.194.157当作网关，从而把所有数据都发送到这个主机，此时的ARP表如下

仔细看此时的物理地址都变为了攻击机kali的物理地址

这时我们便可以用wireshark进行查看，靶机访问的网页信息，但是此时攻击机也不会将这些数据包转发到网关，靶机此时无法正常上网（这里忘记截图了），所以需要在攻击机上开启转发功能，首先再另开一个终端

root@kali:~# echo 1 >> /poc/sys/net/ipv4/ip_forward

此时靶机中的数据可以被截获，同时靶机也可以正常上网，从而无法察觉到被攻击

当攻击停止，查看靶机中的ARP表会发现靶机中的网关物理地址也恢复正常，但会将攻击机的ip及物理地址记录下来

完成