ARP欺骗

MAC地址

    一般我们称为物理地址，它是以太网或网络适配器的唯一标识符，MAC地址能够区分不同的网络接口，并使用多种网络技术，

   MAC地址长48bit，在使用网卡（NIC）的情况下，MAC地址一般都会输入到ROM中，所以任何一个网卡的MAC地址都是唯一的。

ARP协议

       又叫做地址解析协议，用来实现ip地址到物理地址的映射，即询问目标ip对应的MAC地址的一种协议。

     一般使用于IPV4中，而IPV6中使用的是Neighbor。

简单来讲就是利用ip地址定位下一个应该接收数据分包的主机MAC地址，如果目标主机不在同一个链路上，那么查找下一个路由器的MAC地址。

ARP的工作机制

    上图中的主机A与主机B位于同一个链路，不需要经过路由器的转换。

主机A向主机B发送一个ip分组，A的地址为192.168.1.2，B的地址为192.168.1.3,互相不知道对方的MAC地址，C和D是同一链路的其它主机。

如果A想获取B的MAC地址，A会通过广播的方式向以太网的所有主机发送一个ARP请求包，

而A发送的ARP请求包会被同一链路上的所有主机或路由器接收并解析。就是每个主机/路由器都会检查ARP请求包中的信息，如果ARP请求包中的目标ip地址和自己的相同，就会将自己主机的MAC地址写入响应包返回主机A。

通过ARp从ip地址获取MAC地址，实现同一链路内的通信。

如果是不同链路的话该怎么办？

这就需要代理ARP,通常ARP会被路由器隔离，但是采用代理ARP的路由器的路由器可以将ARP的请求转发给临时的网段，使网段中的节点像是在同一个网段内通信。

ARP缓存

    发送ip分组前通过发送一次ARP请求就能确定MAC地址，而ARP高效运行的关键就是维护每个主机和路由器上的ARP缓存，通过每一次ARP获取的MAC地址作为ip对MAC的映射关系到一个ARP缓存表中，下一次在向这个地址发送数据包时就不再需要发送新的ARP请求，直接利用这个缓存表的MAC地址进行数据包的发送，每发送一次ARP请求，缓存表中对应的映射关系都会被清除。MAC地址的缓存有一定的期限，超过该期限，缓存的内容会被清除

在Windows中对arp缓存的查询：

 在Windows中使用“-"进行分隔，在Linux中用“：”分隔

ARP结构

    发送的ARP请求，一般包含着以下的信息，

（在以太网中转换IPV4的地址常用的ARP请求或响应的报文格式）

前面的14个字节构成标准以太网的首部，前面两个字HE段DST

和SRC分别表示以太网的目的地址和以太网的原地址，后面紧跟着ARP请求的长度或类型，ARP请求和ARP应答的值为：0x0806

ARP欺骗

  顾名思义，ARP欺骗是针对以太网地址解析协议的一种攻击技术，通过欺骗局域网

内访问者PC的网关MAC地址，使访问者PC误以为攻击更改后的MAC地址是网关的MAC，导致网络不通。

攻击主机kali与被攻击主机CentOS

根据以上可以知道都在同一个链路

192.168.161.130和192.168.161.133

测试一下能否互通

网关ip(看CentOS）：192.168.161.2

看CentOS能否上网，ping www.baidu.com观察后发现可以上网

在kali中开启Apache，并观察它的状态

扫描局域网内存在哪些主机，确定攻击的ip地址，如果不知道CentOS的ip地址时，

进行攻击需要再攻击机上使用arpspoof工具进行伪装网关

而arpspoof是dsniff的一个附属工具，所以需要下载一下

安装异常时，更换镜像并进行实时更新

进入/etc/apt路径，输入：

cat sources.list <<EOF

输入新的镜像地址之后

进行镜像更新：apt-get update

进行断网攻击：

  一般来说在实战中，我们要进行ARP欺骗前要打开ip转发，否则断网之后对方会被察觉

但是我们这里为了确认是否成功欺骗，没有开启

打开ip转发：

　　sysctl -w net.ipv4.ip_forward=1  或者 echo 1 > /proc/sys/net/ipv4/ip_forward

   而kali中为了安全是没有ip转发功能的，配置文件写在了：

/proc/sys/net/ipv4的ip_forward,它的默认为0，修改为1

命令：

arpspoof -i 你的网卡名称 -t 攻击目标的ip地址  攻击目标的网关地址

现在看看CentOS中是否能够上网，不能上网，还有观察网关的mac和kali的mac此时相同，就能成功了

按Ctrl+c  停止，攻击机不在伪装，返回自己的MAC地址，CentOS又可以上网了。

但是arp欺骗存在局限性，仅能在局域网中进行，无法对外网进行攻击。

现在打开ip转发

使用相同的方法进行攻击，

ping一下百度，发现还可以上网，但是网速很慢，

如果正在浏览图片，也可以获取，但是要使用driftnet工具，监测网络流和获取TCP中的图片

   drifnet工具可以获取http协议下传输的图片，因为http是明文传输，可以获取http流量中的图片数据，并将它解码为jpg格式的图片，储存在终端上，但是https就不可以了，尝试其他攻击SSLspli

一般命令：

drifnet -i 自己的网卡名 -a 需要储存的目录 -d指定目录 -s 抓取声音

，这个在kali里面自带了。

打开方式： sudo ettercap -G

主要有两种方式

UNIFIED  ：以中间人方式嗅探，比较常用

BRIDGED  ：在双网卡的情况下，嗅探两块网卡之间的数据包

查看嗅探主机：

发起断网攻击并窃取数据包

加载插件：remote_broser插件

就可以进行远程攻击了，其实可以利用它来进行arp欺骗，但一般被攻击机时win系统

还可以利用它来进行http账户密码的获取，

ettercap -Tq -i eth0

利用：sudo ip neigh flush all   在kali里面清除arp缓存

如何防范ARP欺骗？

   主要通过：

主机绑定MAC地址和ip地址为静态，arp -s 网关ip 网关MAC；

网关绑定Mac地址和ip地址；

使用arp防火墙；