中间人攻击（ARP欺骗）

1、Vmware常识：
vmnet:表示虚拟交换机
vmnet0:桥接模式，表示接入物理机连接的真实交换机，和物理机在同一交换机。
vmnet1:物理机上vmnet1网卡连接在此虚拟交换机。
vmnet 1-19，表示有19台虚拟交换机。

2、ARP协议：
ARP协议是“Address Resolution Protocol”（地址解析协议）的缩写。其作用是在以太网环境中，数据的传输所依懒的是MAC地址而非IP地址（交换机只能认识MAC地址），而将已知IP地址l转换为MAC地址的工作是由ARP协议来完成的。

在局域网中，网络中实际传输的是“帧”，帧里面是有目标主机的MAC地址的。在以太网中，一个主机和另一个主机进行直接通信，必须要知道目标主机的MAC地址。但这个目标MAC地址是如何获得的呢？它就是通过地址解析协议获得的。所谓“地址解析”就是主机在发送帧前将目标IP地址转换成目标MAC地址的过程。ARP协议的基本功能就是通过目标设备的IP地址，查询目标设备的MAC地址，以保证通信的顺利进行。

3、ARP协议原理：
1、发送方：发送ARP广播请求。封装帧头目的MAC为FF。
2、应答方：发送ARP单播应答。封装帧头目的MAC为发送方MAC地址。

双方都会建立ARP缓存，记录IP地址与MAC地址对应关系。

命令行下：arp -a 可看本机arp缓存。

4、ARP攻击原理：
攻击人通过发送虚假的ARP应答实现ARP缓存投毒！而受害人没有办法进行身份验证！当同时有多个应答时，ARP缓存表会以谁的数据报后到达则存储谁的MAC地址，攻击人会一直发送数据报从而欺骗APR缓存表。

5、中间人攻击(Man-in-the-MiddleAttack，简称“MITM攻击”)

通过拦截正常的网络通信数据，并进行
数据篡改和嗅探，而通信的双方却毫不知情。

实施中间人攻击时，攻击者常考虑的方式是ARP欺骗或DNS欺骗等，将会话双方的通讯流暗中改变，而这种改变对于会话双方来说是完全透明的。

1）信息篡改
当主机A、和主机B通信时，都由主机C来为其“转发”。
2）信息窃取
当A、B通信时，C不主动去为其“转发”，只是把他们的传输的数据备份，以获取用户网络的活动，包括账户、密码等敏感信息，这是被动攻击也是非常难被发现的。

6、中间人攻击实验

1）Vmware虚拟机中分别安装kali、win2012、win7操作系统。

2）将三台虚拟机的网卡都设置连接到vmnet2虚拟交换机。

 3）设置win7的ip地址：10.1.1.1/24

      设置win2012的ip地址：10.1.1.3/24

      设置kali的ip地址：10.1.1.2/24

kali系统中按ctrl+shift+"+"，可放大字符显示。
配置临时IP地址：ifconfig eth0 ip/24
查看IP地址：ifconfig eth0

4)win2012安装IIS和FTP，并测试可访问网站、可通过账号密码进入FTP目录。

iis中安装一个简易ASP站点，可测试后台登陆。

5）kali系统中ettercap工具进行中间人攻击（ARP欺骗）

ettercap工具使用：
1、sniff菜单——unoffensive——eth0（选择要攻击的网卡）
2、hosts菜单——host list 列出所有IP
3、hosts——scan for hosts 扫描IP
4、host list中选择IP:10.1.1.1——add to target 1(添加目标1)——选择另一个IP:10.1.1.3——add to target 2(添加目标2)
5、mitm——arp poisoning (arp投毒)——勾选：sniff remote connections

6）测试结果

当win7被毒化后，在命令行输入：arp -a，发现IP对应的MAC地址都是相同的。

在win7登陆win2012网站后台或FTP登陆成功后，在ettercap中会劫持到相应的账号、密码。