网络攻防实验：ARP欺骗及检测（2020.11.9）

ARP欺骗原理

目前我们的电脑想要上网都需要连局域网，都要通过网关，所谓arp欺骗就是让目标主机误以为攻击者的电脑就是网关，从而实现对目标机的断网或监视。

实验准备

友情提醒：如果你使用的是校园网，请默默换上你的手机热点，因为大部分校园网都带有ap隔离，会影响你的实验。
一台linux虚拟机作为攻击机（kali ubtun系统都可），这里我使用的是ubtun，ip为192.168.43.121，mac地址为00-0c-29-5e-e6-d8（不会装虚拟机的小伙伴请去面壁思过）
我的主机为win10系统，ip为192.168.43.136，mac为30-24-32-a7-65-11
网关ip为192.168.43.1，mac为：:0c-2c-54-2f-73-eb
这三者之间要能够正常通信，或者说能互相ping通。
由于ARP攻击的局限性，物理机与虚拟机必须在同一局域网下，设置方法如下
打开虚拟机的设置，将网络适配器更改为桥接。

点击左上角编辑->虚拟网络编辑器->更改设置，改为桥接方式，网卡设置为与你物理机网卡相同，物理机网卡可以通过控制面板->网络和Internet->查看网络状态和任务->点击你使用的网络->属性 来查看。

获取物理机，网关，虚拟机相关信息的方法有很多，我们这里一 一列举。
虚拟机ip及mac查看：在虚拟机中打开终端，输入ifconfig命令，得到如下图片。

从图中可以看出，虚拟机ip地址为192.168.43.121，mac地址为00-0c-29-5e-e6-d8，网卡名为ens33（敲黑板啦！网卡名一定要记住）
再输入fping -g 192.168.43.1/24扫描当前局域网下存活的ip。


可以发现网关ip，物理机ip，以及虚拟机ip。
然后我们打开主机的cmd，输入ipconfig命令

这样我们就得到了目标机的ip地址为192.168.43.136，网关为192.168.43.1
再输入arp -a命令得到网关mac为：0c-2c-54-2f-73-eb

在主机打开控制面板->网络和internet->查看网络状态和任务->点击你连接的网络->详细信息

物理机的ip，mac，网关在这里都可以看到。以上方法得到的信息也可互相印证。
接下来要保证三者之间的正常通信，也就是可以互相ping通（不知道什么是ping的小伙伴请去面壁）
首先让物理机ping虚拟机，命令格式：ping 【目标】

如果出现以上问题，可能是你的虚拟机防火墙阻拦了我们。打开虚拟机的终端，输入sudo ufw disable命令关闭防火墙

然后再用物理机ping虚拟机，就可以ping通了

虚拟机ping主机
错误示范：直接使用ping 主机ip的命令，ubtun中不像win10那样ping4次就停了，需要指定ping的次数，不然就会出现如下情况

正确示范：输入ping 192.168.43.136 -c 4命令，指定ping的次数为4次。

如果没有ping通，数据包丢失，一般是你的主机防火墙在阻拦。
解决方法：控制面板->系统和安全->windows防火墙->高级设置->入站规则，找到文件和打印机共享（回显请求-ICMPv4-In）,启用规则即可。

ARP断网攻击

在进行攻击之前，我们先用物理机ping一下百度，验证此时网络可用

打开虚拟机终端，输入arpspoof -i ens33 -t 192.168.43.136 192.168.43.1
这里-i后面是网卡名，-t后面是目标机ip与网关ip。

如果出现上图所示情况，说明你的权限不够，只需在命令前加上sudo即可

如图即为成功开始攻击，发送大量的包使主机误以为攻击机是网关。
在主机上ping一下百度，发现请求超时，网页也打不开了。


输入arp -a命令查看注册表，会发现此时网关的mac地址已经变成了虚拟机的mac地址，如下图蓝线所示

在虚拟机终端中输入ctrl c停止欺骗，物理机即可再次联网。

ARP欺骗及检测

在虚拟机终端输入命令sudo sysctl net.ipv4.ip_forward=1开启转发功能，并再次用arpspoof进行攻击。此时物理机可以联网，但已经被虚拟机监视。

在虚拟机whireshark进行抓包，使用物理机ping一下百度，在wireshark中使用过滤命令ip.dst==目标ip过滤所抓到的包，可以截获物理机ping百度的包

在虚拟机终端使用sudo drifenet -i ens33截获图片，使用物理机打开图片，即可在虚拟机同步看到物理机所查看的图片，但如果图片过小，可能会看不到，但是有记录

谢谢阅读！
文章系原创，转载请联系QQ:1097014482。