ensp+kali实现ARP欺骗攻击

ARP欺骗攻击：

原理：攻击者利用主机接收到一个应答包之后，不会验证自己是否发送过对应的arp请求包，也不会验证这个arp请求包是否可信，而是直接用应答包里的IP地址和mac地址的对应关系替换掉arp缓存表里原有的对应关系，来发送一个被修改mac地址的回复包，欺骗主机。

先搭建如上拓扑图

Cloud配置信息如上，并记下vm8的IP地址192.168.37.1

配置serverip，和云处于同一网段下

配置server服务器为ftp服务器并启动

配置clientip地址，和云处于同一网段

配置client客户端信息，服务器地址为serverip地址，并更改用户名和密码

打开kali，右击，点击设置，在网络适配器下更改网络连接为自定义，选择vm8

Eth0网卡所在网段，与client与server在同一网段，同时得知其mac地址

在kali中ping通了client和server，说明在同一网段下

Etho 1开启流量转发，并用cat验证是否开启流量转发，1为开启，0为未开启

输入arpspoof进行ARP欺骗，使用eth0网卡，前ip为欺骗的主机ip，后ip为kali伪装的主机的ip地址

右击交换机，点击数据抓包的0/0/1接口，进行抓包

wireShark抓包，欺骗client，回答192.168.37.20的mac地址是kali自己的mac地址

新开一个kali黑窗，右击黑窗，点launch，打开wireshark

双击eth0

开始抓包，不断登录登出，使得kali获取登录登出的信息

Kali中搜索ftp，缩小搜索范围，成功抓取，现在已经能看到登录登出的信息了

右击信息，follow，进入更为详细的界面

现能看到抓取到的client的用户的登录信息，只有红色的

断网

输入echo 0停止流量转发，cat验证是否为0，0为停止了

开始arp欺骗

已经停止流量转发，Client登不上了

双向欺骗

开启流量转发，并验证是否为1

欺骗client，lali的ip地址假装为192.168.37.20

右键黑窗，开启一个新黑窗，欺骗server

欺骗server，kaliip地址假装为192.168.37.10

在kali开第三个黑窗，输入wireshark

双击eth0，进入抓包页面

在ensp中client中登录登出

在kali wireshark中输入ftp过滤其他多余消息

右击过滤的信息，并点击follow

得到client端登录登出的消息