[ 渗透实战篇 ] Kali Linux下ARP欺骗攻防全解析：从断网攻击到流量劫持

1. ARP欺骗技术基础与实战环境搭建

在局域网安全领域，ARP欺骗就像是一个隐形的"窃听者"，它能悄无声息地让网络流量改道流向攻击者的机器。要理解这个技术，我们得先从ARP协议说起。ARP（Address Resolution Protocol）是负责将IP地址解析为MAC地址的协议，就像快递员需要知道收件人的具体门牌号才能送货一样。

为什么ARP协议容易被利用？这个协议在设计时没有考虑安全验证机制，任何设备都可以随意宣称"我是某某IP"。这就好比在小区里，任何人都可以自称是物业工作人员，而邻居们根本无法验证真伪。在Kali Linux中，我们常用的arpspoof工具正是利用了这个漏洞。

搭建实验环境需要：

• 攻击机：Kali Linux（建议2023.3以上版本）
• 受害机：任意操作系统（Windows 10示例）
• 网络环境：同一局域网段（建议使用虚拟机的桥接模式）

关键配置检查：

# 查看Kali IP配置 ifconfig eth0 # 扫描局域网存活主机 fping -g 192.168.1.0/24 # 或者使用nmap扫描 nmap -sn 192.168.1.0/24

2. 断网攻击实战：让目标"与世隔绝"

ARP断网攻击就像是在目标的网络通道上筑起一堵墙。具体原理是：攻击者持续告诉受害者"我就是网关"，导致受害者的所有外网请求都发向了错误的方向。

操作步骤详解：

1. 首先确认目标能正常上网（ping测试）
2. 执行单向欺骗命令：

arpspoof -i eth0 -t 192.168.1.105 192.168.1.1

这里的-i指定网卡，-t后接目标IP，最后是网关IP

3. 观察目标机ARP表变化：

arp -a

会发现网关MAC地址变成了攻击机的MAC

攻击效果验证：

• 目标机无法访问任何外网资源
• 但局域网内通信仍正常
• 停止攻击后网络立即恢复（无持久性）

技术细节：这种攻击只进行了单向欺骗（仅欺骗目标主机），网关并未被欺骗。就像只修改了寄件人地址，而没有改动收件人地址。

3. 中间人攻击：隐身的数据窃听者

相比粗暴的断网攻击，中间人攻击(MITM)更加隐蔽且危险。攻击者同时欺骗受害者和网关，成为数据传输的"中间人"，就像邮局里的工作人员偷偷拆阅所有信件后再重新封装。

关键准备步骤：

# 必须开启IP转发 echo 1 > /proc/sys/net/ipv4/ip_forward # 双向ARP欺骗 arpspoof -i eth0 -t 192.168.1.105 192.168.1.1 & arpspoof -i eth0 -t 192.168.1.1 192.168.1.105 &

流量截获实战：

1. 图片捕获（HTTP流量）：

driftnet -i eth0

这个工具会实时显示目标浏览的网页图片，但仅限于未加密的HTTP网站。

2. 密码嗅探：

ettercap -Tq -i eth0

Ettercap能捕获各种明文协议的认证信息，包括：

• FTP登录凭证
• HTTP基础认证
• 未加密的邮件登录

真实案例：在一次授权测试中，通过这种方法捕获了目标用户访问公司内部Wiki的账号密码。值得注意的是，现代网站普遍采用HTTPS后，这种攻击的效果已大打折扣。

4. 高级流量劫持技巧

对于有经验的安全研究人员，还可以进行更精细的流量控制：

SSLStrip攻击（降级HTTPS）：

# 先设置iptables转发规则 iptables -t nat -A PREROUTING -p tcp --dport 80 -j REDIRECT --to-port 8080 # 启动sslstrip sslstrip -l 8080

这种技术会试图将HTTPS连接降级为HTTP（需配合DNS欺骗）

DNS欺骗实战：

1. 修改ettercap的DNS配置文件：

vim /etc/ettercap/etter.dns

添加记录如：

* A 192.168.1.100

2. 启动ettercap的DNS欺骗模块

5. 防御措施：构建ARP防火墙

作为网络管理员，必须了解如何防范这类攻击：

静态ARP绑定（Windows示例）：

netsh -c "interface ipv4" add neighbors 12 "192.168.1.1" "00-50-56-c0-00-08"

这里的12是接口索引号，可通过netsh i i show in查询

Linux下的防御方案：

# 安装arpwatch监控ARP变化 apt install arpwatch # 或使用arptables arptables -A INPUT --source-ip 192.168.1.1 --source-mac 00:50:56:c0:00:08 -j ACCEPT arptables -A INPUT -j DROP

企业级解决方案：

• 部署可防御ARP攻击的核心交换机
• 启用端口安全功能（如Cisco的Port-Security）
• 划分VLAN缩小广播域

在实际工作中，我曾遇到过一个有趣的案例：某公司网络时断时续，最后发现是一台中了病毒的打印机在持续发送ARP欺骗包。这个案例告诉我们，ARP欺骗不仅可能来自恶意攻击者，也可能源于设备故障。