arp欺騙也是很古老的滲透手段了，主要起著信息收集的作用，比如你可以利用欺騙獲取對方的流量，從流量分析你認為重要的信息，例如某某賬號密碼。或是利用Arp攻擊，切斷局域網內某一用戶的網絡訪問（單向欺騙）。下面著重講一下中間人攻擊的原理，配和實戰演練分析，不對的地方，還請大家多多反饋和包涵！

MITM

借用Wiki百科的一個比喻來理解MITM（中間人攻擊）：

假設愛麗絲（Alice）希望與鮑伯（Bob）通信。同時，馬洛里（Mallory）希望攔截竊會話以進行竊聽并可能在某些時候傳送給鮑伯一個虛假的消息。

1. 首先，愛麗絲會向鮑勃索取他的公鑰。如果Bob將他的公鑰發送給Alice，并且此時馬洛里能夠攔截到這個公鑰，就可以實施中間人攻擊。馬洛里發送給愛麗絲一個偽造的消息，聲稱自己是鮑伯，并且附上了馬洛里自己的公鑰（而不是鮑伯的）。
2. 愛麗絲收到公鑰后相信這個公鑰是鮑伯的，于是愛麗絲將她的消息用馬洛里的公鑰（愛麗絲以為是鮑伯的）加密，并將加密后的消息回給鮑伯。馬洛里再次截獲愛麗絲回給鮑伯的消息，并使用馬洛里自己的私鑰對消息進行解密，如果馬洛里愿意，她也可以對消息進行修改，然后馬洛里使用鮑伯原先發給愛麗絲的公鑰對消息再次加密。當鮑伯收到新加密后的消息時，他會相信這是從愛麗絲那里發來的消息。

我們的身份就是Mallory，我們希望欺騙Alice和Bob，讓其認為我們是交互的正確目標，從而來獲取他們之間交流的信息。

一、Arp攻擊分析

想要進行中間人攻擊，先理解最基礎的arp攻擊

Arp協議

ARP（Address Resolution Protocol，地址解析協議）是一個位于TCP/IP協議棧中的網絡層，負責將某個IP地址解析成對應的MAC地址。

以太網（局域網）進行信息傳輸時，不是根據IP地址進行通信，因為IP地址是可變的，用于通信是不安全的。然而MAC地址是網卡的硬件地址，一般出廠后就具有唯一性。ARP協議就是將目標IP地址解析成MAC地址進行驗證通信。

Arp通信過程

1. 每臺主機都會在自己的ARP緩沖區建立一個ARP列表（生命周期二十分鐘），用于表示IP地址和MAC地址的對應關系。
2. 主機A若想和主機B通信，首先主機A會查詢Arp緩存表（后面稱ip-mac緩存表）是否有B主機對應的ip-mac，有的話就將B主機的mac地址封裝到數據包發送。若沒有的話，主機A會向以太網發送一個Arp廣播包，告訴以太網內的所有主機自己的ip-mac，并請求B主機（以ip來表示B主機）的mac地址。當B主機收到Arp廣播包后，確認A主機是想找自己的mac地址，就會對A主機進行回應一個自己的mac地址。A主機就會更新自己的ip-mac緩存表，同時B主機也會接收A主機的ip-mac對應關系到自己的ip-mac緩存表。

Arp協議缺陷

ARP協議信任以太網所有的節點，效率高但是不安全。這份協議沒有其它字協議來保證以太網內部信息傳輸的安全，它不會檢查自己是否接受或發送過請求包，只要它就收到的arp廣播包，他就會把對應的ip-mac更新到自己的緩存表

網關的理解

在wiki中這樣定義網關：

在計算機網絡中，網關（英語：Gateway）是轉發其他服務器通信數據的服務器，接收從客戶端發送來的請求時，它就像自己擁有資源的源服務器一樣對請求進行處理。有時客戶端可能都不會察覺，自己的通信目標是一個網關

區別于路由器（由于歷史的原因，許多有關TCP/IP的文獻曾經把網絡層使用的路由器（英語：Router）稱為網關，在今天很多局域網采用都是路由來接入網絡，因此現在通常指的網關就是路由器的IP），經常在家庭中或者小型企業網絡中使用，用于連接局域網和Internet。

網關也經常指把一種協議轉成另一種協議的設備，比如語音網關。

網關可以把內網ip轉化為外網ip，從而向服務器發出請求。也可以把外網Ip獲得的數據包轉換成內網ip發給內網主機。

Arp攻擊原理

根據以上說的arp協議缺陷，如果我們冒充網關主機C，不停的向以太網發送自己的ARP廣播包，告知自己的ip-mac，此時其它主機就會被欺騙，更新我們C的ip-mac為網關主機的ip-mac，那么其它主機的數據包就會發送到C主機上，因為沒有發給真正的網關，就會造成其它主機的網絡中斷。

 

二、Arp攻擊實操

環境

攻擊主機A：Kali—>ip: 192.168.11.106
被攻擊主機B： windows 7—>ip: 192.168.11.105
網關主機C： 192.168.11.1

我的Kali是在虛擬機下，需要Bridge連接保證機器在同一網段，很多人用Nat連接來轉發，在實戰的輕快下，需要更改虛擬機的網絡配置。

網絡配置如圖:

實操

這里模擬真實環境，攻擊主機A和被攻擊主機B在同一局域網下。
1. 先用命令查看一下ip是否正確：
Kali：

可以看到ip是192.168.11.106
Windows7：

ip是192.168.11.105，網關地址是192.108.11.1
2. 用nmap查看當前網端的活躍主機

nmap -sF 192.168.11.0/24

掃描得到如圖活躍主機，可以看到我們的主機B。當然獲取Ip的途徑不可能這么簡單，你也可以用fping的方法來分析，之前我用fping探測局域網windows10的主機，發現Ping不通，win10防火墻還是有點東西。不過你可以根據fping的發送包來推斷主機是否真正存活，具體可以google一下fping的用法，這里給推薦一個鏈接

Kali信息收集：Fping

3. 檢查被攻擊主機是否可以正常上網

百度正常訪問

4. 利用Arpspoof進行欺騙攻擊
Kali自帶的Arpspoof可以很好的進行欺騙，man arpspoof查看官網手冊（網上翻譯）：

名字 
  arpspoof # 截獲交換局域網中的數據包

用法
  arpspoof [-i interface] [-c own|host|both] [-t target] [-r] host

描述
  # arpspoof通過偽造的ARP響應包改變局域網中從目標主機（或所有主機）到另一個主機（host）的數據包轉發路徑。這是交換局域網中嗅探網絡流量的一種極為有效的方法。內核IP轉發（或如fragrouter這樣的、用戶層面的、能完成同樣功能的軟件）必須提前開啟。

參數
  -i interface
    # 指定要使用的接口（即指定一塊網卡）

  -c own|host|both
    # 指定在恢復ARP配置時使用的硬件地址；當在清理（cleaning up）時，數據包的源地址可以用自己的也可以用主機（host）的硬件地址。使用偽造的硬件地址可能導致某些配置下的交換網絡、AP網絡或橋接網絡通信中斷，然而它比起默認值————使用自己的硬件地址要工作地更為可靠。

  -t target
    # 指定一個特殊的、將被ARP毒化的主機（如果沒有指定，則認為是局域網中所有主機）。重復可以指定多個主機。

  -r 
    # 毒化兩個主機（目標和主機（host））以捕獲兩個方向的網絡流量。（僅僅在和-t參數一起使用時有效）

  host  #你想要截獲數據包的主機 (通常是網關)。

5. 主機A作為網關主機欺騙
命令語句

arpspoof -i eth0 -t 192.168.11.105 192.168.1.1

執行命令，Kali會向主機B發送ARP響應包，響應包的內容是Kali的ip-mac地址，而響應包里的ip則是網關主機ip地址。每一行代表一個響應包。從左到右：自己Kali的mac、主機B的mac、幀類型碼(0806，代表ARP包)、包大小、包內容。

6. 被攻擊主機B網絡中斷
我們在B主機用arp -a查看一下是否欺騙成功

可以看到，網關主機C和攻擊者主機A的mac地址相同，欺騙成功

在kali終端輸入control + c 可以停止，清空并恢復原來正確的arp相應包，主機重新恢復聯網狀態

 

三、基于Arp攻擊理解下的MITM

在前面Arp成功進行攻擊后，我們開始作為中間人進行欺騙，需要設置ip轉發，獲取目標主機B的流量，其后配合其它工具(drifnet)等進行進一步嗅探。

值得一提的是，我們的Arp攻擊也是欺騙，但它是單向欺騙，冒充網關主機來欺騙目標主機。實際中，中間人攻擊一般是雙向欺騙。即作為中間人，主機A雙向欺騙主機B與C獲得通信內容，但是不破壞通信數據的傳輸。為了不影響B與C傳輸的數據丟失，主機A開啟ip轉發，開啟后來自B主機的數據包經過A主機的Kali后轉發給主機C。欺騙兩個主機B和C后，我們就能嗅探到雙向數據包。

如果你的kali在虛擬機，那么以下步驟均需要一個外置的usb無線網卡。在虛擬機中，網絡的連接比較復雜，而Ip轉發很大程度上取決于網卡性能。如果你是在虛擬機中Kali進行轉發，基本都會失敗，因為筆記本的內置無限網卡滿足不了需求。由于放假在家我的usb無線網卡落在了寢室..下面僅以文字給大家介紹攻擊的思路和流程，還請見諒…….

linux的ip轉發

linux因為系統安全，是不支持IP轉發的，其配置文件寫在/proc/sys/net/ipv4的ip_forward中。默認為0，需要修改為1。

開啟方法大致有兩種：

1. 只接進入文件修改

   cd /proc/sys/net/ipv4
   ls
   cat ip_forward
   #顯示結果為0
   echo 1 > ip_forward
   cat ip_forward
   #顯示結果為1，修改成功
   

2. 使用echo

   # echo "1"> /proc/sys/net/ipv4/ip_forward
   

對網關和目標主機B的雙向欺騙

這里進行一步執行，選用第二種Ip轉發手段
命令如下：

root@kali:~# echo 1 > /proc/sys/net/ipv4/ip_forward && arpspoof -i eth0 -t 192.168.11.105 -r 192.168.11.1

利用driftnet進程監控

持續保持欺騙，再重新打開一個命令終端。
輸入命令：

root@kali:~# driftnet -i eth0

跳出來的drift窗口即會顯示本機正在瀏覽的圖片

使用ettercap工具獲取密碼

1. 打開新的終端，輸入 attercap -G 啟動工具
2. 點擊Sniff -> unified sniffing，選擇要抓包的網卡，默認是自己的網卡eth0，點確定
3. 然后單擊Hosts -> Scan for host，待掃描完成后再次Scan for host，此時可以看到ettercap-NG已經掃描的主機列表
4. 選擇攻擊目標，點擊192.168.11.105的ip地址，點擊Add to Target 1 ，然后選擇網關的ip地址192.168.11.1，點擊Add to Target 2
5. 明確目標攻擊方式：點擊Mitm -> arp poisoning -> Sniff remote connections -> 確定
6. 開始監聽：start -> Start sniffing

工具就會抓取主機B的數據包和主機C返回的數據包,分析http post請求可以判斷賬號密碼信息。

urlsnarf：獲得受害者的HTTP請求

輸入命令：

root@kali:~# urlsnarf -i eth0

使用Wireshark抓包

使用Wireshark抓取所有的數據包，過濾分析不同請求，類似于ettercap。
例如，要找HTTP POST請求，過濾，查看明文密碼，一般是以POST形式上傳的賬號密碼。

 

四、關于Arp欺騙的防御

防御原理很簡單，就是不讓攻擊者肆意表明自己就是網關主機。我們進入網關主機（路由器后臺地址），網絡參數一欄一般有ip與mac綁定一欄，把網關的mac地址與網關地址綁定就好了。只要確定了對應關系，當攻擊者發布arp相應包時，就不會更新相應的ip-mac緩存表。

我們重新進行欺騙后，再查詢B主機的arp緩存表，如圖

網關主機的mac并沒有被欺騙成功，我們的防御達到目的

如果想知道對方主機的ip地址其實也容易。我們在Cmd下鍵入命令arp -a看一下相同mac，就找到了攻擊者。

 

總結

• 公共區域的wifi存在釣魚風險
• 在傳輸數據過程中盡量使用加密程序