ARP伪造使用抓包工具进行ARP欺骗arp伪造攻击

ARP原理和伪造攻击介绍

ARP协议：

ARP（英文全写：Address Resolution Protocol），翻译成中文的意思是“地址解析协议”。

在局域网中，网络以“帧”的形式传输数据，一个主机要和另一个主机进行直接通信，就必须要知道目标主机的MAC地址。显然，在双方通信之初，发送方是无法知道目标主机的MAC地址的。那么，目标主机的MAC地址，它就是通过“地址解析协议”获得的。

所谓的“地址解析”就是主机在发送“帧”之前，将目标主机的“IP地址”转换成目标主机的“MAC地址”的过程。ARP协议的基本功能就是通过目标设备的IP地址，查询目标设备的MAC地址，以保证通信的顺利进行。

所以说从某种意义上讲ARP协议是工作在更低于IP协议的协议层。这也是为什么ARP欺骗更能够让人在神不知鬼不觉的情况下出现网络故障，危害会很隐蔽。

ARP欺骗原理：

ARP攻击就是通过伪造IP地址和MAC地址实现ARP欺骗，能够在网络中产生大量的ARP通信量，攻击者只要持续不断的发出伪造的ARP响应包就能更改目标主机ARP缓存中的IP-MAC条目，造成网络中断或中间人攻击。

当局域网中一台机器，反复向其他机器，特别是向网关，发送这样无效假冒的ARP应答信息包时，严重的网络堵塞就会开始。由于网关MAC地址错误，所以从网络中计算机发来的数据无法正常发到网关，自然无法正常上网。这就造成了无法访问外网的问题，由于很多时候网关还控制着我们的局域网LAN上网，所以这时我们的LAN访问也就出现问题了。

再通俗点的说，只要两台or多台主机在同一局域网，并且能ping通的情况下，使用arp -a 就能获取到你的mac地址，进而去通过arp欺骗进行伪造攻击

ARP欺骗—伪造网关

攻击者B伪造ARP报文（senderIP地址是网关的，senderMAC地址不是网关的），发送给网段内的主机A，那么主机A就会把网关的ip地址和伪造的mac地址缓存到arp缓存表内，导致主机A无法把要发给网关的消息送达网关，致使主机A无法正常访问外网

ARP欺骗网关

攻击者B伪造ARP报文（senderIP地址是主机A的，senderMAC地址不是主机A的），发送给网关，网关就把主机A的ip地址和伪造的mac地址缓存到网关arp缓存表内，导致网关无法给主机A发送消息，致使主机A无法正常访问外网

ARP欺骗其他主机

攻击者B伪造ARP报文（senderIP地址是主机C的，senderMAC地址不是主机C的），发送给主机A，主机A就把主机C的ip地址和伪造的mac地址缓存到主机A的arp缓存表内，导致主机A无法给主机C发送消息

ARP泛洪攻击

攻击者伪造大量不同ARP报文在同网段内进行广播，导致网关ARP表项被占满，合法用户的ARP表项无法正常学习，导致合法用户无法正常访问外网（也可以泛洪攻击其他主机）

ARP伪造攻击测试

注：此处我采用的是虚拟局域网，以win10为攻方，win7以及linux为被动方，自行测试时保证在同一局域网，能ping通，可获取到mac即可

测试环境：

1.同一局域网=同一网段
2.win10 ×1，win7×1，linux(centos7) ×1
3.科来网络分析系统(https://www.colasoft.com.cn/download/download-csnas.php)

测试流程：

1.获取mac地址：
通过ping对方主机ip，或者域名，若能通则可以获取mac地址，在cmd界面，用arp -a 获取该网段的ip以及mac。如果是所有主机，则mac就写全f

1.打开科来，选中网卡，点击数据包，先过滤，找到回复包，在找网关地址的那条数据包
2.右键–发送数据包到数据包生成器

3.看清图中要修改的部分，以及修改的目的

4.填写发送信息，选择网卡，然后设置发送频率

点开始让他！！！
跑起来！！！

测试结果我就以ping包为例了，具体实操请自行在浏览器查看。

可以看到上图的ping包丢包率是58%，中途我关掉，又重新ping了两次，才恢复正常。

测试结束！！

如何进行防御

1.ARP 高速缓存超时设置

在ARP高速缓存中的表项一般都要设置超时值，缩短这个这个超时值能够有用的避免ARP表的溢出。

2.静态ARP缓存表

每台主机都有一个暂时寄存IP-MAC的对应表ARP攻击就经过更改这个缓存来到达诈骗的意图，运用静态的ARP来绑定正确的MAC是一个有用的办法，在命令行下运用arp -a能够检查当时的ARP缓存表。

3.自动查询

在某个正常的时间，做一个IP和MAC对应的数据库，以后定时检查当时的IP和MAC对应联系是否正常，定时检查交流机的流量列表，检查丢包率。

4.下载防御arp攻击的小插件

1.360当中是有这么一个功能的，如果有这种arp欺骗他会第一时间拦截，并提示告警，还是挺智能化的，有兴趣的小伙伴可以去下载测试。

2.同时360一旦发现有arp欺骗攻击的操作，也是有追踪ip的功能，只要把源地址和mac改了，就是追踪不到的，这就是为什么上述在数据包中要最好就修改的原因

这篇好文章是转载于：学新通技术网