问关于Arp/DHCP的具体问题

EN

您所描述的更多的是网络中断，而不是窃取信息。另外，客户端不向路由器注册，在您描述的情况下，DHCP是免费的，因为DHCP服务器在这种情况中不起任何作用。

实际上，没有IP/MAC绑定这样的东西，你可能会这样想。你需要了解网络层。第二层是本地局域网，本地局域网上的所有通信都由局域网直接从一个主机传送到另一个主机，例如MAC、地址。有些第二层协议使用MAC地址(48位或64位MAC地址)，有些则不使用.第三层是网络，第三层协议使用第三层，例如IP地址.

为了使局域网上的一个主机向局域网上的另一个主机发送流量，主机需要将目标层-3地址解析为目标层-2地址，以构建帧。这就是ARP (地址解析协议)出现的原因。

ARP维护一个表，用于将第3层地址转换为第2层地址.这个表中的条目通常超时，但这取决于操作系统。为了获取或更新ARP表中的条目，主机将使用ARP请求。主机还将从它在局域网上看到的任何流量更新其ARP表。这意味着当受害者发送其他主机看到的任何通信量时，他们将用新的信息更新ARP表。这可能是受害者发送自己的ARP请求，以发现另一个主机的第2层地址、无偿的ARP、未知的单播通信量或单播通信量到另一个更新它的ARP表的主机。

如果这是一个交换式以太网局域网，还需要考虑其他一些问题。以太网交换机维护MAC地址表(不要与ARP表混淆)，以便将MAC地址解析为上次看到MAC地址的接口。每当有帧进入交换机时，交换机将用帧的源MAC地址更新其MAC地址表，并使用MAC地址表来确定它将向哪个交换机接口发送带有目标MAC地址的帧。如果目标MAC地址不在其MAC地址表中，则交换机将将帧洪泛到所有交换机接口，但帧进入交换机的接口除外。

现在，把所有的都放在一起。如果恶意主机试图劫持MAC地址，这将只是暂时的，因为其他主机中的ARP表将更新，并且交换机将不断更改它用目标MAC地址传递帧的接口。

真正的中间人攻击需要发生在流量必须通过的链路上，但大多数局域网上的情况并非如此，因为局域网上的流量直接从主机传递到主机，而不是通过一个点。

罗恩在解释这个概念方面做得很好。我只想为你的具体情况加上我的2美分。您曾经提到过您的客户端1(受害者)和客户端3(攻击者)。为了拦截所有通信量(往返受害者)，我假设您也在网关和客户端1(受害者)之间进行了欺骗。这种MITM攻击的全部目的是操纵网关(路由器)和受害者的ARP表(IP绑定)。为了维护路由器和受害者被操纵的ARP表，只要您想拦截流量，就需要继续向两者发送伪造的arp回复。