ARP渗透与攻防(二)之断网攻击

ARP断网攻击 系列文章 ARP渗透与攻防(一)之ARP原理

1. 环境准备

• Kali作为ARP攻击机：

• IP地址：192.168.110.26

• MAC地址：00:0c:29:fc:66:46

• Win10作为被攻击方：

• IP地址：192.168.110.12

• MAC地址：1c:69:7a:a4:cf:92

• 网关（路由器）：

• IP地址：192.168.110.1

• MAC地址：e4:3a:6e:35:98:00

注意事项：两台主机需要在同一个局域网，并且网络通畅。

2. ARP断网攻击原理

ARP断网攻击的原理是：向目标主机不断发送ARP报文，并将报文中的网关MAC地址设置为攻击机的主机MAC地址。当目标主机想要访问网络发送数据包时，数据包会被发送到攻击机，然后攻击机只需执行丢弃数据包的命令，就可以断掉目标主机的网络连接。

3. arpspoof介绍

arpspoof是一个实用的ARP欺骗工具，攻击者通过毒化受害者的ARP缓存，将网关的MAC地址替换为攻击者的MAC地址，然后攻击者可以截获受害者发送和接收的数据包，从而获取受害者的敏感信息，如账户和密码等。Kali Linux中已经自带了该工具。

4. 具体攻击步骤

1. 确保两台机器在同一局域网络下，并且可以相互通讯。

   1.1 查看Kali的IP和MAC地址。

   1.2 查看Windows的IP和MAC地址。

   1.3 通过Windows ping Kali来保证网络通畅。

   1.4 Win10查看ARP表，记录网关的信息。

2. Kali进行断网攻击

   在这一步，Kali机会发起一个攻击，将Windows的ARP表中存储的网关MAC地址替换为Kali机的MAC地址，从而导致中间人攻击。此时，Windows访问外部网络不再通过网关转发，而是通过我们的攻击机进行转发。但由于Kali机没有开启路由转发功能，导致Windows机的流量虽然经过了Kali转发，但最终无法访问外网。

3. Win10查看网络连接和Kali的网络连接

   可以观察到Windows无法ping通外部网络。

4. Win10查看此时的ARP表

5. Kali机结束断网攻击

6. Win10重新查看网络状态

   可以看到Windows机器恢复了上网功能。

7. Win10重新查看ARP表