渗透测试实战之ARP欺骗攻击（ARP断网攻击）

《中华人民共和国网络安全法》

第二十七条 任何个人和组织不得从事非法侵入他人网络、干扰他人网络正常功能、窃取网络数据等危害网络安全的活动;不得提供专门用于从事侵入网络、扰网络正常功能及防护措施、窃取网络数据等危害网络安全活动的程序、工具;明知他人从事危害网络安全的活动的，不得为其提供技术支持、广告推广、支付结算等帮助。

ARP攻击就是通过伪造IP地址和MAC地址实现ARP欺骗，能够在网络中产生大量的ARP通信量使网络阻塞，攻击者只要持续不断的发出伪造的ARP响应包就能更改目标主机ARP缓存中的IP-MAC条目，造成网络中断或中间人攻击。

具体攻击实现

具体的中间人攻击，大体上可以分为以下几个步骤：

1. 对目标主机进行ARP欺骗，声称自己是网关。

2. 转发目标的NAT数据到网关，维持目标的外出数据。

3. 对网关进行ARP欺骗，声称自己是目标主机。

4. 转发网关的NAT数据到目标主机，维持目标的接收数据。

5. 监听劫持或者修改目标的进入和外出数据，从而实现攻击。

靶机：192.168.1.11

网关  192.168.1.1

网关 MAC ： 5Cfc-6e2f-6b10

kali: 192.168.1.10

MAC:000c-292e-0424

arpspoof 是一款进行arp欺骗的工具，攻击者通过毒化受害者arp缓存，将网关mac替换为攻击者mac，然后攻击者可截获受害者发送和收到的数据包，可获取受害者账户、密码等相关敏感信息。

步骤1、安装命令，apt-get install dsniff

攻击命令格式：arpspoof  -i   网卡  -t 目标ip   目标网关

攻击前测试：ping 8.8.8.8   （正常）

开始攻击：

arpspoof  -i   eth0  -t 192.168.1.11   192.168.1.1

攻击后测试：ping 8.8.8.8   （异常）      

查看arp  看看网关MAC地址   （已经变成了 kali的MAC）

对抗ARP欺骗，可以采取以下多种有效手段：

• ‌静态绑定IP-MAC地址‌：
  
  
  • 在交换机或路由器上静态绑定IP地址和MAC地址，可以防止ARP欺骗导致的IP-MAC地址映射错误。这种方法需要管理员对网络中的设备有清晰的了解，并随着网络规模的扩大，手动配置的工作量会显著增加。
    
    
• ‌使用ARP防火墙‌：
  
  
  • ARP防火墙能够自动检测并拦截伪造的ARP数据包，保护ARP缓存表的正确性。防火墙类防护软件可以对网络流量进行监控和过滤，识别并阻止ARP欺骗攻击。
    
    

内容确实是很详细，每一步都有截图，大牛啊