ARP攻击/欺骗

ARP攻击/欺骗

所谓ARP攻击/欺骗，就是伪造IP和MAC地址进行的攻击或者欺骗。攻击者通过持续不断的发出伪造的ARP响应包就能更改目标主机ARP缓存中的IP-MAC条目，造成网络中断或中间人攻击。
ARP攻击：主要是使目标主机断网
ARP欺骗：在ARP攻击的基础上，通过嗅探对方的流量，非法获取一些隐私信息

实验拓扑：

一、配置kali
配置kali的网卡IP地址，编辑/etc/network/interfaces，编辑好之后service networking restart重启网卡服务。



二、配置路由器R1
R1(config)#int f0/0
R1(config-if)#ip add 192.168.10.254 255.255.255.0 // 配置网关地址
R1(config-if)#no shu
R1(config-if)#exit
R1(config)#ip http server //开启网页服务
R1(config)#ip http authentication local
R1(config)#username lsj privilege 15 password cisco
R1(config)#line vty 0 4 //开启远程登录服务
R1(config-line)#password 123
R1(config-line)#login
R1(config)#enable password 123

三、配置win的IP地址（略）

测试：局域网内能互相ping通，并查看arp缓存表

四、攻击前，用WIN通过192.168.10.254访问路由器R1的网页。可以正常打开。

五、使用kali开始攻击。用.4(局域网的网段)查看当前局域网存在的主机IP

六、kali使用arpspoof工具进行攻击，arpspoof -i eth0 -t 192.168.10.100 192.168.10.254

七、攻击之后，在win上arp -a查看缓存表，发现arp条目异常。

八、win上通过192.168.10.254访问R1的网页，发现无法正常打开，arp攻击成功。若停止攻击，win又能正常打开R1的网页。

九、接下来，我们尝试ARP欺骗，获取被攻击者的上网信息。首先要开启kali的IP转发功能，其配置文件写在/proc/sys/net/ipv4的ip_forward中。默认为0，接下来修改为1。修改之后使用arpspoof工具开始攻击。



十、打开嗅探工具wireshark，并开始监听kali的eth0网卡。


十一、用win远程登录R1，通过kali的wireshark监听到telnet流量，追踪分析TCP流就可以获取win去telnet R1的密码。查看到密码，ARP欺骗成功。