基于arpspoof的ARP欺骗实战实验

Attack

准备好两台虚拟机，分别为：

攻击方：kali

被攻击方：windowsXP

首先，查找kali攻击方的ip、网关、mac地址：

攻击方ip：192.168.209.129

攻击方网关：192.168.209.255

攻击方mac地址：00:0C:29:3C:3C:62 

windows：

被攻击方ip：192.168.209.138

被攻击方网关：192.168.209.2

被攻击方mac地址：00:0C:29:6D:7D:59

被攻击方能够ping通www.baidu.com:

使用arpspoof进行arp欺骗攻击：

命令：

arpspoof -i[网卡] -t[被攻击方网关] [被攻击方ip]

在这，我们使用：

arpspoof -i eth0 -t 192.168.209.2 192.168.209.138

发现：攻击方发送了大量的arp数据包，疯狂回应自己的mac地址是攻击方想要访问的地方。

在被攻击方上ping www.baidu.com，发现不通：

在被攻击方上，ping www.baidu.com。同时，在攻击方上使用wireshark抓包，发现能够抓取来自被攻击方的数据包：

点开一个ICMP报文：

发现目的地址为：103.235.46.39，在浏览器上发现，该ip地址为百度网：

成功监听到被攻击方的数据包。

但是，被攻击方很快会察觉到处于arp攻击状态，所以，我们在攻击方使用转发命令，：

sudo echo 1 > /proc/sys/net/ipv4/ip_forward

启动转发，使得被攻击方可以保持上网情况下，攻击方可以劫持并转发被攻击方的数据包，从而达到窃听的效果。

转发后：

被攻击方ping baidu仍然能够ping通。

攻击方仍然能够窃取到被攻击方的数据包。

Defend

防止arp欺骗的手段其实非常简单，只需要在被攻击方添加静态arp就可以。

将自己的网关arp设置为静态arp：

arp -s [IP地址] [mac地址]

原文来源于CSDN p0int3r｜侵删

中电运行是专业专注培养能源企业IT工匠和提供IT整体解决方案的服务商，也是能源互联网安全专家。

为方便大家沟通，中电运行开通“中电运行交流群”，诚挚欢迎能源企业和相关人士，以及对网络安全感兴趣的群体加入本群，真诚交流，互相学习。想加入我们就给我们留言吧。

●小白必读！寰宇卫士手把手教你栈溢出（上）

●手把手教你栈溢出（中）

●手把手教你栈溢出（下）

●《信息安全知识》之法律关键常识汇总

●CTF经验分享|带你入门带你飞！

原文始发于微信公众号（寰宇卫士）：基于arpspoof的ARP欺骗实战实验