ARP欺骗攻击

什么是ARP欺骗?

由于局域网的网络流通不是根据IP地址进行，而是根据MAC地址进行传输。所以，MAC地址在A上被伪造成一个不存在的MAC地址，这样就会导致网络不通，A不能Ping通C!这就是一个简单的ARP欺骗。

ARP欺骗原理

假设一个网络环境中，网内有三台主机，分别为主机A、B、C。主机详细信息如下描述:

A的地址为:IP:192.168.10.1 MAC: AA-AA-AA-AA-AA-AA

B的地址为:IP:192.168.10.2 MAC: BB-BB-BB-BB-BB-BB

C的地址为:IP:192.168.10.3 MAC: CC-CC-CC-CC-CC-CC

正常情况下A和C之间进行通讯，但是此时B向A发送一个自己伪造的ARP应答，而这个应答中的数据为发送方IP地址是192.168.10.3(C的IP地址)，MAC地址是BB-BB-BB-BB-BB-BB(C的MAC地址本来应该是CC-CC-CC-CC-CC-CC，这里被伪造了)。当A接收到B伪造的ARP应答，就会更新本地的ARP缓存(A被欺骗了)，这时B就伪装成C了。同时，B同样向C发送一个ARP应答，应答包中发送方IP地址四192.168.10.1(A的IP地址)，MAC地址是BB-BB-BB-BB-BB-BB(A的MAC地址本来应该是AA-AA-AA-AA-AA-AA)，当C收到B伪造的ARP应答，也会更新本地ARP缓存(C也被欺骗了)，这时B就伪装成了A。这样主机A和C都被主机B欺骗，A和C之间通讯的数据都经过了B。主机B完全可以知道他们之间说的什么:)。这就是典型的ARP欺骗过程。

实战：

实战环境：
1.WinXP win7 kali三台PC；
2.这三台PC互相能ping通；
3.kali不能识别物理机的虚拟网卡，所以需要在本地连接或者宽带连接条件下进行。

步骤一：得到目标机的IP地址

查看win7的IP

查看WinXP IP：

步骤二：kali作为攻击者欺骗win7和WinXP

在kali打开一个终端

再打开一个终端

再打开一个终端

步骤三：输入命令tcpdump -nn -x -i eth0 icmp

再打开一个终端

用WinXP ping 192.168.0.108

应对方法

1.中毒者:建议使用趋势科技SysClean工具或其他杀毒软件清除病毒；
2.获得路由器的内网的MAC地址(例如网关地址10.10.75.254的MAC地址为0022aa0022aa)。2)编写一个批处理文件AntiArp.bat内容如下:
@echooff
arp -d -s 10.10.75.254 00-22-aa-00-22-aa
pause
将文件中的网关IP地址和MAC地址更改为您自己的网关IP地址和MAC地址即可，计算机重新启动后需要重新进行绑定，因此我们可以将该批处理文件AntiArp.bat文件拖到”windows–开始–程序–启动”中。这样开机时这个批处理就被执行了；
3.使用ARP防火墙(例如AntiArp)软件抵御ARP攻击。