ARP中间人攻击

什么是ARP

ARP协议（address resolution protocol），即地址解析协议。该协议位于TCP/IP协议中的网络层，能够根据IP地址获取物理地址：主机发送信息时将包含目标IP地址的ARP请求广播到局域网上的所有主机，并接收返回消息，以此确定目标的物理地址。收到返回消息后，将该IP地址和物理地址存入本机ARP缓存中并保留一定时间，下次请求时直接查询ARP缓存以节约资源。

需要注意的是：arp协议是建立在网络中各个主机互相信任的基础上的，局域网上的主机可以自发发送arp应答消息，其他主机收到应答报文时不会检测该报文的真实性就会将其记入本机arp缓存，这也正是其缺陷。

ARP断网攻击

攻击者向目标主机发送伪ARP应答报文，从而篡改本地的MAC地址表。ARP欺骗可以导致目标计算机与网关通信失败，更会导致通信重定向，所有的数据都会通过攻击者的机器，因此存在极大的安全隐患。

基于arp协议的这一工作特性，黑客（一般是你的网安舍友）向你的计算机不断发送有欺诈性质的arp数据包，数据包内含有与当前设备重复的Mac地址，使对方在回应报文时，由于简单的地址重复错误而导致不能进行正常的网络通信，或者如果不及时处理，便会造成网络通道阻塞，网络设备的承载过重，网络的通信质量不佳等情况。

由于这种攻击是利用arp请求报文进行欺骗的，所以防火墙会认为是正常的请求数据包，就不会拦截，因此普通防火墙很难抵御这种攻击。

ARP断网攻击实践

使用kali，由于其自带可用的工具，是居家旅行的必备帮手。

本实践使用kali虚拟机对宿主机实行arp断网攻击、

使用fping对所在网段扫描：