ARP欺骗，又称ARP毒化或ARP攻击，是针对以太网地址解析协议(ARP)的一种攻击技术，通过欺骗局域网内访问者PC的网关MAC地址，使访问者PC错以为攻击者更改后的MAC地址是网关的MAC，导致网络不通。此种攻击可让攻击者获取局域网上的数据包甚至可篡改数据包，且可让网络上特定计算机或所有计算机无法正常连线。

攻击者：kali系统，IP地址192.168.245.133

被攻击者：win10系统，IP地址 192.168.245.162

网关：192.168.245.2

利用工具：

1. Arpspoof：一款专业的arp断网攻击软件，能够直接欺骗网关，使得通过网关访问网络的电脑全被欺骗攻击，通过arp欺骗达到中间人嗅探和捕获数据包的目的，并替换传输中的数据，方便用户开启arp断网攻击，抢占网速等。
2. Driftnet：一个监听网络流量并从它观察到的TCP流中提取图像的程序。有趣的是看到很多网络流量的主机上运行。在实验性增强中，driftnet先从网络流量中挑选出MPEG音频流，并尝试播放它们。
3. Ettercap：一款有效的、灵活的中介攻击工具。它支持主动及被动的协议解析并包含了许多网络和主机特性(如OS指纹等)分析，总之可以简单理解为可以抓取数据包。

1)查看攻击者和被攻击者的ip、网卡和mac地址，如下图。图1：被攻击者主机信息图2：攻击者主机信息

2)如果是正常攻击时，第二步是进行局域网内地址存活探测，因本次为测试，是用虚拟机进行测试。

3)确定好攻击ip地址后，对目标ip进行转发。

命令：echo 1 >/proc/sys/net/ipv4/ip_forward

*解释：默认为0(不转发)，我们改成1(为1的话目标不会断网，当然以后如果想实行断网攻击的话，可以设置回来：echo 1 >/proc/sys/net/ipv4/ip_forward)

4)接下来进行欺骗

命令：arpspoof -i eth0 -t 被攻击者ip 网关

*解释：-i后面是网卡，-t后面是目标ip，最后的填网关(让被攻击者认为攻击者的mac地址为网关的mac地址)

被攻击者的mac列表，很明显显示网关的mac地址是攻击者的mac地址。

图3：执行命令图4：在被攻击者电脑上查看的arp信息5)进行双向欺骗，如下图(如果是2.4版本的arpspoof，此步骤可省略)命令：arpspoof -i eth0 -t 网关 被攻击者ip*解释：-i后面是网卡，-t后面填网关，最后填被攻击者ip(让网关认为攻击者的mac地址为被攻击者的mac地址)6)进行流量截取，如下图命令：driftnet -i eth0          Ettercap -Tq -i eth0效果：访问网站时抓取的图片图5:抓取的图片访问http明文传输的网站时抓取的用户名密码图6:抓取的用户名密码

1. ARP双向绑定在pc端上IP+mac绑定在网络设备(交换路由)上采用IP+mac+端口绑定。网关也进行IP和mac的静态绑定。
2. 采用支持ARP过滤的防火墙。
3. 建立DHCP服务器ARP攻击一般先攻击网关，将DHCP服务器建立在网关上。
4. 划分安全区域      ARP广播包是不能跨子网或网断传播的，网段可以隔离广播包。VLAN就是一个逻辑广播域，通过VLAN技术可以在局域网中常见多个子网，就在局域网中隔离了广播。缩小感染范围。但是，安全域划分太细会使局域网的管理和资源共享不方便。

本文章仅用来为大家提供已存在且公开安全问题的相关知识。由于传播、利用此安全公告所提供的信息而造成的任何直接或者间接的后果及损失，均由使用者本人负责，公众号不为此承担任何责任。本公众号拥有对此文章的修改和解释权。如欲转载或传播此文章，必须保证此文章的完整性，包括声明等全部内容。未经本公众号允许，不得随意修改或者增减此文章的内容，不得以任何方式将其用于商业目的。