ARP欺骗（ARP Spoofing）是一种网络攻击技术，攻击者通过伪造ARP（地址解析协议）消息，将其MAC地址与目标IP地址关联，从而实现对网络流量的截获、篡改或重定向。以下是ARP欺骗的详细信息：

一.理论

1. ARP协议概述

• 功能：ARP用于将IP地址解析为MAC地址，以便在局域网中进行数据传输。

• 工作原理：当设备需要发送数据到特定IP地址时，它会广播ARP请求，询问哪个设备拥有该IP地址。拥有该IP地址的设备会回复其MAC地址。

• ARP的分类

  ARP主要分为普通的ARP、免费ARP和代理ARP（此处主要介绍普通ARP和免费ARP）

  普通ARP和免费ARP的作用

  1、通过ARP的请求和应答报文，可以根据目的IP地址来解析其对应的MAC地址

  2、发送免费ARP请求，可以探测本机的IP地址在广播域内是否冲突、告知其他网络节点自己的IP地址和MAC地址、更新其他网络节点的ARP缓存表

  ARP报文中涉及的全0-MAC地址和全F-MAC地址

  全F为数据链路层封装的MAC，表示二层广播发送（免费ARP应答的Target MAC也为全F，表示该目的IP对应的MAC为非未知的）

  全0为ARP请求报文的Target MAC封住的，表示目的MAC未知

• arp协议：即地址解析协议，将IP地址转换为对应的mac地址，属链路层协议

• 补充内容：计算机网络基础知识总结 | 菜鸟教程

2. ARP欺骗的原理

• 伪造ARP响应：攻击者向网络中的设备发送伪造的ARP响应，声称自己的MAC地址与目标IP地址相关联。
• 缓存中毒：受害者的ARP缓存会被更新，导致其将数据发送到攻击者的MAC地址，而不是目标设备。
• arp欺骗原理_arp欺骗的工作原理-CSDN博客
• ARP攻击最终的结果是导致网络中断，而ARP欺骗的最终结果是使得流量通过自身达到监控或控制的目的

3. 攻击目的

• 数据截获：攻击者可以监听和记录通过其设备传输的数据。
• 中间人攻击：攻击者可以修改数据包内容，例如篡改网页内容或注入恶意代码。
• 拒绝服务：通过不断发送伪造的ARP消息，使网络中的设备无法正常通信。

4. 攻击步骤

1. 侦察：攻击者使用网络嗅探工具（如Wireshark）识别网络中的设备和IP地址。
2. 发送伪造ARP消息：攻击者向网络中的设备发送伪造的ARP响应。
3. 缓存中毒：受害者的ARP缓存被更新，导致数据流向攻击者。
4. 数据截获和篡改：攻击者可以监听、记录或修改数据流。

vmware虚拟网卡配置Kali学习（ms17-010、ms08-067漏洞复现）_kali没有网络-CSDN博客

二.实验：

靶机 win7

默认网关：192.168.222.2

ip地址：192.168.222.132

攻击机：kali2023

ip地址：192.168.222.130

（一）arp断网攻击

1.在虚拟机中下载好arpspoof工具,并且查看好kali和win7的ip，看看相互ping能不能ping通

2. 利用命令查看存活主机，fping -g 192.168.222.0/24，查看当前局域网还存在那些主机，以确定要攻击的主机的ip地址

• fping：这是一个用于发送 ICMP Echo 请求的命令行工具，类似于 ping，但可以同时对多个主机进行 ping 操作。fping 的优点是速度快，适合在大范围内进行网络探测。

• -g：这个选项表示生成一个 IP 地址的列表。它会根据提供的网络地址范围生成所有可能的主机地址。

• 192.168.222.0/24：这是一个 CIDR（无类域间路由）表示法，表示一个子网。192.168.222.0/24 表示从 192.168.222.0 到 192.168.222.255 的所有 IP 地址（共 256 个地址），其中 24 表示网络部分的位数，即前 24 位为网络地址，后 8 位为主机地址。

3.命令格式：arpspoof -i 网卡 -t 目标ip 网关

其中，-i后面的参数是网卡名称，-t后面的参数是目的主机和网关，截取目标的主机发往网关的数据包 

可见目标win7直接断网了

终止进程后

可以继续访问

 

（二）arp限速

        大致概念：

        当kali欺骗了网关和受害者的时候，受害者访问网络就需要经过kali的网卡，那我们限制kali网卡的速度或者转发的速度就可以限制对方的网速。这里可以使用的工具有tc、iptables、WonderShaper等等，我们以tc为例，tc是通过限制网卡的速度来限制对方的，是一种杀敌一千自损八百的手段。
在写这个之前，介绍工具：（TC）

在Linux中，流量控制都是通过TC这个工具来完成的。通常， 要对网卡进行流量控制的配置，需要进行如下的步骤:

◆ 为网卡配置一个队列;

◆ 在该队列上建立分类;

◆ 根据需要建立子队列和子分类;

◆ 为每个分类建立过滤器。

需要注意的是， 在TC 中使用下列的缩写表示相应的网络延迟:

时间的计量单位：

s、sec或者secs 秒

ms、msec或者msecs 毫秒

us、usec、usecs或者一个无单位数字 微秒

QDisc(排队规则) [qdɪsk]是queueing discipline [ˈkjuːɪŋ] [ˈdɪsəplɪn] 的简写，它是理解流量控制(traffic control)的基础。无论何时，内核如果需要通过某个网络接口发送数据包，它都需要按照为这个接口配置的qdisc(排队规则)把数据包加入队列。然后，内核会尽可能多地从qdisc里面取出数据包，把它们交给网络适配器驱动模块。

ARP限制网速攻击-CSDN博客

1.要限制网速，kali要先开启路由器转发功能

1.开启端口转发

cat /proc/sys/net/ipv4/ip_forward 	        #值为0表示没开启流量转发，为1表示开启了
echo 1 > /proc/sys/net/ipv4/ip_forward     #开启流量转发

2 .限速靶机

sudo tc qdisc add dev eth0 root netem delay 200ms

 解释：

• sudo：这个命令以超级用户（root）权限执行，因为修改网络配置通常需要更高的权限。

• tc：这是Linux中用于流量控制的命令行工具。

• qdisc：代表“队列规则”（Queueing Discipline），是用于管理数据包的调度和排队的机制。

• add：表示添加一个新的队列规则。

• dev eth0：指定要应用规则的网络设备，这里是eth0，通常是一个以太网接口。

• root：表示这是一个根队列规则，所有流量都将经过这个规则。

• netem：代表网络仿真（Network Emulation），用于模拟网络延迟、丢包、重排序等网络特性。

• delay 200ms：设置网络延迟为200毫秒。这意味着通过eth0接口发送的数据包将会被延迟200毫秒后再发送出去

        简单的说就是先把kali限速

        可以看见，相比之前，响应速度增加了200ms

3.开启ARP攻击

arpspoof -i eth0 -t 192.168.222.132 192.168.222.2

        这里和上面的断网攻击的区别就是，目标机器不会被断网，但是会被限速，而且比起上面的攻击，因为还可以与外界联系，所以很难被察觉

从这里可以看见攻击前后的响应速度差别

（最后的数据为取消arp欺骗的正常响应速度）

(三)ARP嗅探

同样的在使用arp欺骗前 先开启Kali的IP转发

开启IP转发后 流量会经过kali的主机而后再去到目标，

这时开启arpspoof进行欺骗后目标就不会断网，此时kali可拦截相关受害者主机相关信息，开启wireshark拦截受害者ping数据。

         接下来就是流量分析的范畴了

来个简单的实用一点的工具使用，图片那个driftnet就不再演示了

urlsnarf（既能抓URL也能抓图片）

使用urlsnarf嗅探受害者访问了哪些网页，默认抓取80、8080、3128端口的数据。
开启路由转发功能，使用arpspoof开启欺骗，然后使用urlsnarf来抓，这个工具好用一些

第一步，开启数据转发

echo 1 > /proc/sys/net/ipv4/ip_forward

第二步，arp欺骗

arpspoof -i eth0 -t 192.168.222.132 198.168.222.2

第三步，实时抓取

urlsnarf -i eth0   #eth0是要抓的网卡

（需要重新开窗口）

urlsnarf -i eth0

 以下为结果展示

        可见已经成功抓取到了这个流量，实际上也可以通过 wireshark来筛选分析流量，只是比这个要复杂。