网络攻防——ARP欺骗

1.什么是arp攻击

    ARP攻击是指攻击者利用ARP协议的缺陷,发送ARP响应报文,把网关对应的MAC地址变成欺骗的MAC地址,从而导致网络中断或数据劫持的目的。简单一句话就是能够修改mac地址，使数据改变发送的目的主机。可以利用修改mac地址，处理数据，然后重新将数据发送给原主机，有点类似于数据劫持，中间对于数据处理就能够自由操作。

2.arp攻击条件

    （1）在同一个局域网中的相同网段，同一网段指的是IP地址和子网掩码相与得到相同的网络地址，主要是因为arp不支持路由协议。

3.arp如何进行攻击

3.1靶机环境搭建

    首先，下载windows10镜像，当时下了很多镜像，各种大小的镜像文件都有，有很多都不能用，推荐一个镜像资源网站：https://msdn.itellyou.cn/，下载（迅雷更快）完成之后，首先直接安装家庭版，然后在设置里面升级到专业版，可能提示，密匙错误，重启之后就能解决，展示效果如下：

开始会提示没有网络，可能是还没有连上去，过一会儿就能连上去了。

3.2攻击机环境搭建

    这里直接使用kali作为攻击机，kali安装和使用可以参考（之前的写文章），kali安装完成之后效果如下：

3.3如何发起arp攻击

（1）找到靶机的ip地址，效果如下：

（2）查看靶机的arp映射表：

（3）在kali中发起攻击，一般是修改第一个对应的mac地址：

arpspoof -i eth0 -t  192.168.58.130 -r 192.168.58.2

（4）展示效果：
kali将会不断的发送数据包，修改里面的地址，

windows10被攻击效果：

windows arp表被篡改效果：
注意停止攻击之后，mac地址能自动恢复。

4.如何防止arp攻击

防止方法：捆绑ip地址和mac地址，这里给出两种方法：
（1）arp -s 192.168.58.2 00-50-56-e9-7a-6c，可能提示没有权限，则使用第二种方法；
（2）首先查看网卡的Idx值，第二个才有用（本地连接）：

然后输入：netsh -c "i i" add neighbors 4 "192.168.58.2" "00-50-56-e9-7a-6c"绑定ip地址和mac地址。

修改之后地址mac地址编程了静态，如果还是动态的说明修改失败了，可以重启windows再试一次。
最终达成效果即为，在攻击的过程中不会发生arp对应的mac地址的修改，但是网络还是无法使用。

5.参考文献

（1）ARP报错(拒绝访问)的解决方法

这篇好文章是转载于：学新通技术网