渗透技术——ARP攻击

Part 1: ARP攻击介绍

        ARP（Address Resolution Protocol，地址解析协议）是一个位于TCP/IP协议栈中的底层协议，负责将某个IP地址解析成对应的MAC地址。而ARP攻击就是通过伪造IP地址和MAC地址实现ARP欺骗，能够在网络中产生大量的ARP通信量使网络阻塞，攻击者只要持续不断的发出伪造的ARP响应包就能更改目标主机ARP缓存中的IP-MAC条目，造成网络中断或中间人攻击。这是一种“中间人”（MAN-IN-MIDDLE）攻击技术。

        电脑遭受到典型的ARP攻击后会表现为：使用局域网时会突然掉线，过一段时间后又会恢复正常。比如客户端状态频频变红，用户频繁断网，IE浏览器频繁出错，以及一些常用软件出现故障等。如果局域网中是通过身份认证上网的，会突然出现可认证，但不能上网的现象（无法ping通网关），重启机器或在MS-DOS窗口下运行命令arp -d后，又可恢复上网。

        ARP欺骗木马只需成功感染一台电脑，就可能导致整个局域网都无法上网，严重的甚至可能带来整个网络的瘫痪。该木马发作时除了会导致同一局域网内的其他用户上网出现时断时续的现象外，还会窃取用户密码。如盗取QQ密码、盗取各种网络游戏密码和账号去做金钱交易，盗窃网上银行账号来做非法交易活动等。

Part 2: 实验准备

        1. VMware
        2. Machine 1: Kali
        3. Machine 2: Ubuntu

Part 3: 实验目的

        通过ARP攻击或者靶机在登陆网站时输入的账号和密码。

Part 4: 实验过程

       Step 1: 在Kali终端输入命令： ifconfig -a，可以看到Kali虚拟机上的IP地址和MAC地址。

        Step 2: 在靶机终端上输入：ifconfig -a 查看靶机的IP地址和MAC地址。

        Step 3: 在靶机终端上输入：arp -a 查看网关攻击前的MAC地址。 

         Step 4: 在Kali终端上输入以下命令执行攻击（sudo arpspoof -i eth0 -t 目标IP地址 网关）。

sudo arpspoof -i eth0 -t 172.16.202.135 172.16.202.2

        攻击后的MAC地址：

 

        然后在一个新的终端中输入命令：sudo bash -c 'echo 1 > /proc/sys/net/ipv4/ip_forward'，才能使靶机能够正常上网。

        Step 5: 在Kali机器上使用wireshark工具进行网络抓包。在本实验中，我们在靶机上打开4399网站进行测试。用户名和密码都输入：arpattack

        然后我们就可以在Wireshark上成功抓取http数据包。 

Reference

1. ARP攻击，如何防御？ - 知乎
2. 什么是ARP攻击？