概念

ARP欺骗是针对以太网地址解析协议（ARP）的一种攻击技术，通过欺骗局域网内访问者PC的网关MAC地址，使访问者PC错以为攻击者更改后的MAC地址是网关的MAC，导致网络不通。此种攻击可让攻击者获取局域网上的数据包甚至可篡改数据包，且可让网上上特定计算机或所有计算机无法正常连线。

---

方法

假设在一个LAN里，只有三台主机A、B、C，且C是攻击者。

1. 攻击者聆听局域网上的MAC地址。它只要收到两台主机洪泛的ARP Request，就可以进行欺骗活动。

2. 主机A、B都洪泛了ARP Request.攻击者现在有了两台主机的IP、MAC地址，开始攻击。

3. 攻击者发送一个ARP Reply给主机B，把此包protocol header里的sender IP设为A的IP地址，sender mac设为攻击者自己的MAC地址。

4. 主机B收到ARP Reply后，更新它的ARP表，把主机A的MAC地址（IP_A, MAC_A）改为（IP_A, MAC_C）。

5. 当主机B要发送数据包给主机A时，它根据ARP表来封装数据包的Link报头，把目的MAC地址设为MAC_C，而非MAC_A。

6. 当交换机收到B发送给A的数据包时，根据此包的目的MAC地址（MAC_C）而把数据包转发给攻击者C。

7. 攻击者收到数据包后，可以把它存起来后再发送给A，达到偷听效果。攻击者也可以篡改数据后才发送数据包给A，造成伤害。

---

实验——使用Cain工具

实验环境搭建

在同一局域网内，准备三台主机，分别如下：

FTP服务器（192.168.219.131） Windows7系统

攻击机（192.168.219.134） Windows xp系统

靶机（192.168.219.129） Windows7系统

网关为192.168.219.2

并在攻击机上安装Cain软件。

ARP欺骗

在攻击机中打开Cain软件，切换到sniffer,点击上方Configure,选择当前局域网的网卡，点击Apply,再点击OK。

点击上方网卡按钮，再点击加号按钮。

点击OK，Cain开始扫描当前局域网，扫描结果如下。

点击下方APR，再点击上方加号按钮，在弹出的界面中左边选择网关，右边选择要欺骗的主机IP。

点击网卡按钮右边的欺骗按钮，Status的状态会变为Poisoning。

至此，ARP欺骗成功，靶机和FTP服务器中ARP表对攻击机IP地址的MAC地址映射就为网关的MAC地址，可以通过arp -a命令查看ARP表。

靶机

FTP服务器

获取FTP服务器账号密码

在靶机（192.168.219.129）上登陆FTP服务器（192.168.219.131），攻击机（192.168.219.134）中点击Cain软件下方的Passwords,在界面左边点击FTP，即可得到FTP登陆账号密码，账号为std，密码为123456。

同样的，也可以截取Web（即HTTP）的账号密码。