ARP欺骗--利用arp欺骗实现断网攻击

ARP协议

地址解析协议，即ARP（Address Resolution Protocol），是根据IP地址获取物理地址的一个TCP/IP协议。主机发送信息时将包含目标IP地址的ARP请求广播到局域网络上的所有主机，并接收返回消息，以此确定目标的物理地址；收到返回消息后将该IP地址和物理地址存入本机ARP缓存中并保留一定时间，下次请求时直接查询ARP缓存以节约资源。地址解析协议是建立在网络中各个主机互相信任的基础上的，局域网络上的主机可以自主发送ARP应答消息，其他主机收到应答报文时不会检测该报文的真实性就会将其记入本机ARP缓存；由此攻击者就可以向某一主机发送伪ARP应答报文，使其发送的信息无法到达预期的主机或到达错误的主机，这就构成了一个ARP欺骗。ARP命令可用于查询本机ARP缓存中IP地址和MAC地址的对应关系、添加或删除静态对应关系等。相关协议有RARP、代理ARP。NDP用于在IPv6中代替地址解析协议。

特点：

无状态，无需请求可以应答

关于ARP欺骗

      ARP欺骗（英语：ARP spoofing），又称ARP毒化（ARP poisoning，网络上多译为ARP病毒）或ARP攻击，是针对以太网地址解析协议（ARP）的一种攻击技术。此种攻击可让攻击者获取局域网上的数据包甚至可篡改数据包，且可让网络上特定计算机或所有计算机无法正常连线。最早探讨ARP欺骗的文章是由Yuri Volobuev所写的《ARP与ICMP转向游戏》（ARP and ICMP redirection games）。

       ARP欺骗的本质是把虚假的IP-MAC映射关系通过ARP报文发给主机，让主机把虚假的IP-MAC映射存入ARP缓存表（可能是IP地址错误，也可能是MAC地址错误），让其无法正确发送数据。

ARP欺骗原理

        ARP欺骗的运作原理是由攻击者发送假的ARP数据包到网上，尤其是送到网关上。其目的是要让送至特定的IP地址的流量被错误送到攻击者所取代的地方。因此攻击者可将这些流量另行转送到真正的网关（被动式数据包嗅探，passive sniffing）或是篡改后再转送（中间人攻击，man-in-the-middle attack）。攻击者亦可将ARP数据包导到不存在的MAC地址以达到阻断服务攻击的效果，例如netcut软件。

        例如某一的IP地址是192.168.0.254，其MAC地址为00-11-22-33-44-55，网络上的计算机内ARP表会有这一笔ARP记录。攻击者发动攻击时，会大量发出已将192.168.0.254的MAC地址篡改为00-55-44-33-22-11的ARP数据包。那么网络上的计算机若将此伪造的ARP写入自身的ARP表后，计算机若要透过网上网关连到其他计算机时，数据包将被导到00-55-44-33-22-11这个MAC地址，因此攻击者可从此MAC地址截收到数据包，可篡改后再送回真正的网关，或是什么也不做，让网上无法连线。

ARP欺骗方法

ARP泛洪攻击

通过向网关发送大量ARP报文，导致网关无法正常响应。首先发送大量的ARP请求报文，然后又发送大量虚假的ARP响应报文，从而造成网关部分的CPU利用率上升难以响应正常服务请求，而且网关还会被错误的ARP表充满导致无法更新维护正常ARP表，消耗网络带宽资源。

攻击者伪造大量不同ARP报文在同网段内进行广播，导致网关ARP表项被占满，合法用户的ARP表项无法正常学习，导致合法用户无法正常访问外网（也可以泛洪攻击其他主机）

ARP欺骗主机的攻击

ARP欺骗主机的攻击也是ARP众多攻击类型中很常见的一种。攻击者通过ARP欺骗使得局域网内被攻击主机发送给网关的流量信息实际上都发送给攻击者。主机刷新自己的ARP使得在自己的ARP缓存表中对应的MAC为攻击者的MAC，这样一来其他用户要通过网关发送出去的数据流就会发往主机这里，这样就会造成用户的数据外泄。

欺骗网关的攻击

欺骗网关就是把别的主机发送给网关的数据通过欺骗网关的形式使得这些数据通过网关发送给攻击者。这种攻击目标选择的不是个人主机而是局域网的网关，这样就会攻击者源源不断的获取局域网内其他用户的数据．造成数据的泄露，同时用户电脑中病毒的概率也会提升。

例如：攻击者B伪造ARP报文（senderIP地址是主机A的，senderMAC地址不是主机A的），发送给网关，网关就把主机A的ip地址和伪造的mac地址缓存到网关arp缓存表内，导致网关无法给主机A发送消息，致使主机A无法正常访问外网

例如：攻击者B伪造ARP报文（senderIP地址是主机C的，senderMAC地址不是主机C的），发送给主机A，主机A就把主机C的ip地址和伪造的mac地址缓存到主机A的arp缓存表内，导致主机A无法给主机C发送消息

中间人攻击

中间人攻击是同时欺骗局域网内的主机和网关，局域网中用户的数据和网关的数据会发给同一个攻击者，这样，用户与网关的数据就会泄露。

IP地址冲突攻击

通过对局域网中的物理主机进行扫描，扫描出局域网中的物理主机的MAC地址，然后根据物理主机的MAC进行攻击，导致局域网内的主机产生IP地址冲突，影响用户的网络正常使用。

实操--使用kali进行ARP欺骗

根据IP地址解析获取MAC地址

为什么需要MAC地址呢

MAC地址在封装时是链路层封装的寻址的地址，交换机（二层）通过MAC地址分发数据包

主机：kali（192.168.20.128）

（目标）靶机：win7（192.168.20.131）

确保两台主机在同一网段，能够互相ping通，查看kali的IP是192.168.20.128，win7的IP是192.168.20.131，网关是192.168.20.2

 

 在进行ARP攻击之前，可以先查看一下被攻击主机的ARP缓存表。以便于被攻击后的ARP缓存表进行对照。输入

arp -a

 

然后我们再ping一下百度，确保靶机是联网的

 接着就可以开始攻击了，在kali中打开终端，利用arpspoof工具，对物理机发起ARP断网攻击。

输入

arpspoof -i 网卡 -t 靶机IP地址 网关   #-i	指定网卡,-t	持续不断攻击
arpspoof -i eth0 -t 192.168.20.131 192.168.20.2

 攻击成功，Kali中持续不断地发送arp应答包，进行ARP欺骗，我们在用目标靶机ping一下www.baidu.com

再打开网页看一下

 访问不了，目标靶机已经断网了

我们再查看一下arp缓存表

 发现win7的MAC地址已经变成了kali eth0网卡的MAC地址了，也就是攻击主机的ARP缓存表中的网关和攻击主机的MAC地址是一样的，均为攻击主机的MAC地址。可以认定，物理机遭遇了ARP攻击。

我们再kali里ctrl+c取消攻击，（可能一次不行，多试几次就行了）

我们在目标靶机里重新ping www.baidu.com，ping通了，打开网页，发现目标靶机重新连接了网络

说明我们的arp欺骗成功