ARP欺骗攻击

最新推荐文章于 2025-06-09 20:25:51 发布
最新推荐文章于 2025-06-09 20:25:51 发布
阅读量7.1k 收藏 47
点赞数 3
CC 4.0 BY-SA版权
分类专栏: 信安 文章标签: ARP 信安
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.youkuaiyun.com/qq_40711741/article/details/80205258
本文介绍了ARP欺骗攻击的基本原理,展示了如何在局域网环境中利用Dsniff工具集中的arpspoof工具实施ARP欺骗,包括攻击前后的网络状态变化、断网攻击方法以及数据包嗅探技巧。

摘要生成于 C知道 ,由 DeepSeek-R1 满血版支持, 前往体验 >

什么是ARP欺骗攻击

ARP协议:

  • 在以太网中,是用MAC地址来进行通讯的。所以要用 ARP 协议将 IP 地址解析成 MAC 地址。
  • ARP 协议就是通过目的 IP 询问设备的 MAC 地址。局域网中的每一台设备都有一个 ARP 缓存表,表中存放 IP 和 MAC 地址的对应情况。
  • 过程如下:在一个以太网交换网络内,主机A希望能与主机B进行交流,所以主机A对整个网络进行广播,然后使用地址解析协议找到目标主机B的MAC地址。尽管整个广播域下都能收到主机A发送的信息,但只有主机B才会回复ARP请求,将自己的MAC地址发给主机A。
主机A向全网:
源IP: A的IP
源 MAC: A的MAC
目的IP: B的IP
目的MAC地址: 00:00:00:00:00:00 
之后B主机回复ARP请求:
源 IP: B的IP
源 MAC: B的MAC
目的 IP: A的IP
目的 MAC地址: A的MAC

ARP欺骗:

  • ARP 是个早期的网络协议,RFC826在 1980就出版了。早期的互联网采取的是信任模式,在科研、大学内部使用,追求功能、速度,没考虑网络安全。
  • ARP 欺骗就是非法的宣称自己是某个 IP 的 MAC 地址,使询问者错误的更新 ARP 缓存表,这样被欺骗主机发送的数据就会发送到发起攻击的主机,而不是理想的目的 IP 主机。
  • 如果攻击者将目的主机也欺骗,就可以实现对两台主机之间数据传输的控制。
  • ARP攻击仅能在以太网(局域网如机房、内网、公司网络等)进行。无法对外网(互联网、非本区域内的局域网)攻击。

利用虚拟机进行ARP攻击

准备:

Dsniff工具集,包含的工具主要分为四类:

  1. 纯粹被动地进行网络活动监视的工具,包括:dsniff、filesnarf、mailsnarf 、msgsnarf、urlsnarf、webspy;
  2. 针对SSH和SSL的MITM(Man-In-The-Middle)"攻击"工具,包括sshmitm和webmitm;
  3. 发起主动欺骗的工具,包括:arpspoof、dnsspoof、macof;
  4. 其它工具,包括tcpkill、tcpnice
工具:Dsniff工具集中的arpspoof

平台:VMware

虚拟机:XP作为被攻击方;Ubuntu作为攻击方

将虚拟机的网络连接模式设置为桥接模式,在试验过程中发现仅在虚拟机设置中将网络适配器设置为桥接模式不能使两个运行的虚拟机处于同一个局域网中。需要将网络适配器设置为自定义,选择特定虚拟网络中的桥接网络。具体有哪些虚拟网络可以在 编辑->虚拟机网络编辑器 中添加、配置、删除。



局域网的模式是所有主机在一个子网中,具有相同的IP前缀,主机想要和外网通信时需要向局域网的网关IP发送请求,从网关接收数据。所以进行ARP欺骗就是用局域网中的攻击主机(记为Attacker)欺骗被攻击主机(记为Target)自己就是网关,从而接收到Target发送的数据,再欺骗网关自己就是Target从而获取网关发送给Target的数据。

虚拟机的四种网络模式介绍:

NAT 模式:Vhost 访问网络的所有数据由主机提供,vhost 并不真实存在于网络中,主机与网络中的任何机器都不能查看和访问到 Vhost 的存在。

桥接模式:通过主机网卡直接连入到网络中了。因此,它使得虚拟机能被分配到一个网络中独立的 IP,所有网络功能完全和在网络中的真实机器一样。 IP 一般是 DHCP 分配的。

Internal 模式:内部网络模式,虚拟机与外网完全断开,只实现虚拟机与虚拟机之间的内部网络模式。IP:由 DHCP 服务器会分配。

主机模式:是一种比较复杂的模式,前面几种模式所实现的功能,在这种模式下,通过虚拟机及网卡的设置都可以被实现。

步骤:

欺骗之前:

在Ubuntu中安装Dsniff:要用到管理员权限

sudo apt-get install dsniff

查看XP的IP地址:在cmd使用ipconfig命令,我的XP的IP地址是192.168.43.181

查看Ubuntu的IP地址:在终端用ifconfig命令,我的Ubuntu的IP地址是192.168.43.231

在Ubuntu中查看网关:终端运行命令:netstat -rn


欺骗之前先查看一下XP中的ARP缓存表,在cmd中用arp -a命令:可以看出分别为网关的mac地址和局域网中另一个主机Ubuntu的MAC地址


进行欺骗:

Ubuntu中:分别在在两个终端运行命令:

arpspoof -i ens33 -t 192.168.43.1 192.168.43.181
arpspoof -i ens33 -t 192.168.43.181 192.168.43.1

arpspoof命令解释:

Usage: arpspoof [-i interface] [-c own|host|both] [-t target] [-r] host

其中的interface可以在Ubuntu中查看网关是看到,本机为ens33,这条命令的意思即为:欺骗主机host自己就是主机target

命令1的意思是告诉XP我Ubuntu就是网关,命令2的意思是告诉网关我Ubuntu就是XP

运行之后的界面:


断网攻击:

在Ubuntu的另一个终端中运行:这条命令要在root下运行

echo 0 > /proc/sys/net/ipv4/ip_forward
命令的中'0'含义是终止数据包转发,使XP断网
echo 1 > /proc/sys/net/ipv4/ip_forward

命令的中'1'含义是允许数据包转发,即停止断网

在攻击前后可以在XP的cmd运行ping www.baidu.com看是否可以ping通

数据获取:

安装工具:

sudo apt-get install driftnet

在终端以管理员身份运行:

sudo driftnet

之后会弹出driftnet窗口

此时在XP中打开任意网页就可以在Ubuntu中的driftnet窗口中看到获取的图片




                

        

    

    
  



    



                



	

		

			

				
					
ARP欺骗

				
			

			

				

					xiaoxiao的博客
				

				

					12-20
					
					444
					
				

			

		

		

			
				
一、实验环境
攻击机:Kali Linux
靶  机:Windows XP
网卡连接:NAT(Vmnet 8)
IP地址:自动获取(通过Vmware软件自动分配IP地址)
二、实验步骤:
1、查看IP地址
Kalinux:ifconfig  eth0

Windows XP:ipconfig  /all

判断2台主机IP地址是否在同一个IP网段
2、连通性测试
Windows XP:关闭防火墙
...

			
		

	



                

            
              



	

		

			

				
					
基于python的ARP欺骗攻击设计与实现

				
			

			

				

					
				

				

					09-18
					
					1789
					
				

			

		

		

			
				
可以利用Python中的traceroute()函数,该函数可以模拟路由跟踪的过程,用于确定网络中路由路径和连接函数,在这个函数中,我们通过传入一个目标网址(这里是www.baidu.com)和一个最大的TTL值为一跳,来获取到目标网址的第一跳路由器的IP地址,也就是本地网络的网关地址。最后将获取到的网关IP地址返回。以太网帧是网络通信中的基本单位,其中包含了数据的传输信息和控制信息,在以太网帧中,数据长度的最小值为46字节,当数据包长度不足46字节时,需要使用填充位将其补满,以达到最小长度的要求。

			
		

	



              


  
              

                


	

		

			

				
					
ARP欺骗病毒攻击 

				
			

			

				

					autofei的专栏
				

				

					11-10
					
					2468
					
				

			

		

		

			
				
  近一段时间以来,部分校园网用户受到一种名为ARP欺骗木马程序(病毒)的攻击ARP是“Address Resolution Protocol”“地址解析协议”的缩写),病毒发作时其症状表现为计算机网络连接正常,却无法打开网页;或由于ARP欺骗的木马程序(病毒)发作时发出大量的数据包,导致用户上网不稳定,网络时断时续,上网速度缓慢,极大地影响了用户的正常使用,给整个校园网安全带来了严重隐患。  

			
		

	





	

		

			

				
					
ARP欺骗原理与防范

					
最新发布

				
			

			

				

					HTTP404_CN的博客
				

				

					06-09
					
					578
					
				

			

		

		

			
				
ARP欺骗ARP Spoofing或ARP Poisoning)是一种针对局域网的攻击手段,通过篡改网络中设备的IP地址与MAC地址映射关系,实现流量劫持或监听。

			
		

	



		

			
		



	

		

			

				
					
关于ARP欺骗(百度百科)

				
			

			

				

					jzqin的专栏
				

				

					02-14
					
					1225
					
				

			

		

		

			
				
 ARP欺骗  什么是ARP   ARP(Address Resolution Protocol)是地址解析协议,是一种将IP地址转化成物理地址的协议。从IP地址到物理地址的映射有两种方式:表格方式和非表格方式。ARP具体说来就是将网络层(也就是相当于OSI的第三层)地址解析为数据链路层(也就是相当于OSI的第二层)的物理地址(注:此处物理地址并不一定指MAC地址)。   ARP原理:

			
		

	





	

		

			

				
					
ARP协议及ARP欺骗详解

				
			

			

				

					weixin_34138139的博客
				

				

					09-21
					
					449
					
				

			

		

		

			
				
ARP协议及ARP欺骗详解地址解析协议,即ARP(Address Resolution Protocol),是根据IP地址获取物理地址的一个TCP/IP协议。主机发送信息时将包含目标IP地址的ARP请求广播到网络上的所有主机,并接收返回消息,以此确定目标的物理地址;收到返回消息后将该IP地址和物理地址存入本机ARP缓存中并保留一定时间,下次请求时直接查询ARP缓存以节...

			
		

	





	

		

			

				
					
ensp加kali实现arp欺骗攻击

				
			

			

				

					04-21
				

			

		

		

			
				
本文将深入探讨如何使用Kali Linux这一专业安全操作系统,配合ENSPI(Ethernet Network Simulation Platform,以太网网络模拟平台)来实现ARP欺骗攻击,并了解这种攻击可能导致的后果。  首先,我们需要理解ARP的...

			
		

	





	

		

			

				
					
渗透测试实战之ARP欺骗攻击ARP断网攻击

				
			

			

				

					g90900的博客
				

				

					11-22
					
					2274
					
				

			

		

		

			
				
arpspoof 是一款进行arp欺骗的工具,攻击者通过毒化受害者arp缓存,将网关mac替换为攻击者mac,然后攻击者可截获受害者发送和收到的数据包,可获取受害者账户、密码等相关敏感信息。执行ping扫描最简单的方法是使用工具fping,fping使用ICMP ECHO一次请求多个主机,对当前局域网还存在那些主机进行快速扫描,以确定要攻击的主机的ip地址。在kali终端中,输入命令“ifconfig”,查看kali的IP地址与MAC地址,如图所示。2、访问登录网址,输入用户名及密码。

			
		

	





	

		

			

				
					
易语言ARP欺骗攻击

				
			

			

				

					08-20
				

			

		

		

			
				
易语言ARP欺骗攻击源码系统结构:随机MAC,获取MAC,探测停止,ARP欺骗,Ping探测,自定义ARP,API_SendARP,API_inet_addr, ======程序集1 || ||------_启动子程序 || || ======窗口程序集1 || ||------_DLL_局域网_创建

			
		

	





	

		

			

				
					
ARP欺骗攻击.rar

				
			

			

				

					04-04
				

			

		

		

			
				
随着技术的发展,网络攻击手段层出不穷,其中一种名为ARP欺骗攻击的技术尤为引人关注。ARP欺骗攻击利用了局域网通信协议的漏洞,对网络系统的安全构成了严重威胁。本文将对ARP欺骗攻击进行详细探讨,并分析相关程序...

			
		

	





	

		

			

				
					
ARP欺骗攻击(1)

				
			

			

				

					weixin_45987797的博客
				

				

					10-02
					
					633
					
				

			

		

		

			
				
1.1ARP协议简介
ARP是地址解析协议的缩写,地址解析协议的基本功能就是在主机发送数据之前将目标IP转换成MAC地址,完成网络地址到物理地址的映射,以保证两台主机能够正常通信。
ARP欺骗原理
ARP协议最初设计的目的是为了方便传输数据,设计该协议的前提实在网络绝对安全的情况下,但ARP也存在缺陷,ARP协议的主要缺陷如下:

由于主机不知道通信对方的MAC地址,所以才需要ARP广播请求获取。当在广播请求时,攻击者就可以伪装ARP应答,冒充真正要通信的主机,以假乱真。
ARP是无状态的,这就表示主机可以

			
		

	





	

		

			

				
					
简单的ARP欺骗攻击

				
			

			

				

					qq_51461656的博客
				

				

					01-31
					
					511
					
				

			

		

		

			
				
提示:文章写完后,目录可以自动生成,如何生成可参考右边的帮助文档

文章目录(一)、ARP协议简介(二)、ARP原理简介(三)、执行攻击(四)、攻击有效范围(五)、若遭攻击怎末办?

(一)、ARP协议简介
ARP是 Address Resolution Protocol (地址解析协议)的缩写。在以太网中,两台主机想要通信,就必须要知道目标主机的MAC(Medium/Media Access Control,介质访问控制)地址,如何获取目标主机的MAC地址呢?这就是地址解析协议ARP的工作。地址解析协议的

			
		

	





	

		

			

				
					
网络安全之:ARP欺骗攻击

				
			

			

				

					2301_77019676的博客
				

				

					09-06
					
					465
					
				

			

		

		

			
				
攻击者通过发送伪造的ARP应答包,将合法主机的IP地址与自己的MAC地址进行绑定,使得网络中的其他主机将数据发送到攻击者而不是目标主机,从而达到窃取数据或拦截数据的目的。反向式ARP欺骗攻击是指攻击者向局域网中的所有主机发送伪造的ARP请求包,将自己的IP地址与目标主机的MAC地址绑定。这样,当网络中的其他主机需要与目标主机通信时,数据会被发送到攻击者那里,攻击者可以窃取数据或进行中间人攻击。主动式ARP欺骗攻击是指攻击者直接向目标主机发送伪造的ARP应答包,将目标主机的IP地址与攻击者的MAC地址绑定。

			
		

	





	

		

			

				
					
arp欺骗攻击

				
			

			

				

					04-29
				

			

		

		

			
				
### 配置 Rate-Limit 功能以防止 ARP 欺骗攻击

为了有效应对 ARP 欺骗攻击,可以通过配置 `rate-limit` 功能来限制每秒接收的 ARP 报文数量。这种机制能够减少因恶意或异常 ARP 请求而导致的网络性能下降甚至瘫痪的风险。

---

#### 1. 原理概述
ARP 欺骗攻击通常涉及伪造大量的 ARP 报文,这些报文可能会占用过多的 CPU 资源或者破坏正常的通信流程。通过启用 `rate-limit` 功能,可以限定设备在特定时间内能处理的最大 ARP 报文数。一旦超过设定阈值,多余的数据包会被丢弃或记录以便进一步分析[^1]。

---

#### 2. 具体配置过程

以下是实现基于接口级别的 ARP 报文速率限制的一个通用示例:

```shell
# 切换至系统视图
system-view

# 进入目标物理接口(假设为GigabitEthernet 1/0/1)
interface GigabitEthernet 1/0/1

# 启用针对ARP miss情况下的反攻击速率限制功能
arp-miss anti-attack rate-limit enable

# 设定最大允许的ARP请求速率为80条/秒 (可根据实际情况调整)
arp-miss anti-attack rate-limit threshold 80

# 对于超出限额的行为定义动作, 此处选择直接丢弃超额数据包
arp-miss anti-attack rate-limit action drop
```

以上各指令含义分别为:
- `arp-miss anti-attack rate-limit enable`: 打开对未命中缓存的ARP查询实施速度管控的功能;
- `threshold 80`: 表明该端口每秒钟最多接受80个新的未知MAC地址对应的ARP询问;
- `action drop`: 明确指出对于那些违反规定频率上限的新到来自同一源头的ARP请求应当立即舍弃而不做任何回应[^2]。

另外值得注意的是,在某些高端交换产品线里还存在一种叫做Block Mode的操作模式选项可供选用。在这种特殊情形之下,只要发现有任意单一时隙内的实际到达量突破预先声明好的界限值之后便会立刻启动全面封锁机制——即时切断整个链路上的一切形式的ARP通讯直到人为干预解除为止[^3]。

---

#### 3. 效果验证与优化建议

执行完毕上述操作后,管理员应该利用专门设计用于展示实时统计信息的相关命令去核实各项指标是否符合预期计划之内:

```shell
display arp anti-attack configuration arpmiss-rate-limit
```

此命令可以帮助确认目前所应用的各项参数详情及其运行状况。与此同时也要密切留意日常运维过程中是否存在误伤现象发生(比如正常业务往来也被错误判定成了潜在威胁),必要时候适当放宽标准或是引入更加精细粒度的区别对待逻辑来达成更好的平衡效果。

最后强调一点就是尽管单纯依靠调节速率阀值能够在一定程度上缓解压力但是绝不可能彻底根除隐患所在所以最好还是联合采用诸如动态主机配置协议绑定、静态映射维护等多种互补型防御手段一起构筑起全方位立体化的网络安全保障体系架构[^3]。

---

			
		

	



              




          




        



    





    



      

      

        
      

      





	

		
评论 1

	

  
	




  

    

      添加红包
      
    

    

      

        
        

          
          
        

        
请填写红包祝福语或标题

      

      

        
        

          
          
        

        
红包个数最小为10个

      

      

        
        

          
          
        

        
红包金额最低5元

      

      

        
        

          当前余额3.43前往充值 >
        

      

      

        

          需支付:10.00

        
        
      

    

  





  

    
    
  

  

    
    
  








  

    

      

        

          

            
            
成就一亿技术人!

          

          

        

        

          

          

            领取后你会自动成为博主和红包主的粉丝
            规则
          

        

      

      

        

          

            
              
            
            

              
hope_wisdom
 发出的红包
            

          

        

        

          

          

          

        

      

    

    

  



      
      

      
实付

      
使用余额支付

      

        

          

            
            点击重新获取
          

        

        
扫码支付

      

      

        
          
            
          
          
        
      

      

        
        钱包余额
          0
          

            
            

              

                
抵扣说明:

                
 1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
 2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

              

            

          

      

      余额充值