ARP欺骗

ARP欺骗定义

ARP欺骗（英语：ARP spoofing），又称ARP毒化（ARP poisoning，网络上多译为ARP病毒）或ARP攻击，是针对以太网地址解析协议（ARP）的一种攻击技术，通过欺骗局域网内访问者PC的网关MAC地址，使访问者PC错以为攻击者更改后的MAC地址是网关的MAC，导致网络不通。此种攻击可让攻击者获取局域网上的数据包甚至可篡改数据包，且可让网络上特定计算机或所有计算机无法正常连线

ARP的分类

单向ARP欺骗（One-way ARP Spoofing）

攻击者A伪装成合法网关G，向受害者V发送虚假ARP响应，告诉V合法网关G的IP地址对应的MAC地址是攻击者A的MAC地址。然后，V将其所有流量发送到攻击者A，而攻击者A可以监视或篡改通信。

ARP缓存中毒（ARP Cache Poisoning）

攻击者A周期性地发送虚假ARP响应，将多个IP地址映射到自己的MAC地址，以此污染目标设备的ARP缓存。这可能导致网络中的混乱和通信中断。

中间人攻击（Man-in-the-Middle Attack）

攻击者A伪装成合法网关G，并伪装成合法受害者V，与V和G之间的通信都通过攻击者A进行中转。攻击者A可以监视、篡改或注入数据包，而V和G都不知道攻击发生了。

反向ARP欺骗（Reverse ARP Spoofing）

攻击者A伪装成网络中的一个主机，向合法网关G发送虚假的伪造ARP请求，声称自己是G。就是在ARP请求中伪造了请求方的IP地址，如果被响应方接收，也会把请求方的IP和MAC地址记录下来。然后，攻击者A将合法网关G的IP地址映射到自己的MAC地址。这样，其他设备会将流量发送到攻击者A而不是合法网关G。

ARP方式

伪造网关

攻击者B伪造ARP报文（senderIP地址是网关的，senderMAC地址不是网关的），发送给网段内的主机A，那么主机A就会把网关的ip地址和伪造的mac地址缓存到arp缓存表内，导致主机A无法把要发给网关的消息送达网关，致使主机A无法正常访问外网

欺骗网关

攻击者B伪造ARP报文（senderIP地址是主机A的，senderMAC地址不是主机A的），发送给网关，网关就把主机A的ip地址和伪造的mac地址缓存到网关arp缓存表内，导致网关无法给主机A发送消息，致使主机A无法正常访问外网

欺骗其他主机

攻击者B伪造ARP报文（senderIP地址是主机C的，senderMAC地址不是主机C的），发送给主机A，主机A就把主机C的ip地址和伪造的mac地址缓存到主机A的arp缓存表内，导致主机A无法给主机C发送消息

泛洪攻击

攻击者伪造大量不同ARP报文在同网段内进行广播，导致网关ARP表项被占满，合法用户的ARP表项无法正常学习，导致合法用户无法正常访问外网（也可以泛洪攻击其他主机）

ARP欺骗实现

网络环境
本次的攻击者：

字段	内容
攻击者	Kali
类型	虚拟机
IP	192.168.88.128

本次的被攻击者（靶机）：

字段	内容
被攻击者	Windows 7 X64
类型	物理主机
IP	192.168.88.142

ARP断网

通过fping命令，查看当前局域网还存在那些主机，以确定要攻击的主机的ip地址。

fping -g 192.168.88.1/24

利用arpspoof工具，对物理机发起ARP断网攻击。
输入aspspoof -t 192.168.88.142 -r 192.168.88.2 。其中，-r后面的参数是网卡名称，-t后面的参数是目的主机和网关，要截获目的主机发往网关的数据包。
kali会不断向被攻击机发送应答包，被攻击机的ARP缓存表中，原网关的MAC地址就被篡改为攻击机的MAC地址。kali默认不转发数据，被攻击机达到断网效果。