用kali自带的arpspoof进行的一次arp欺骗的过程

以下将使用arpspoof进行两种模拟攻击。

第一种是单向欺骗靶机，使靶机中的arp表的网关硬件地址从正确的硬件地址变为攻击机kali的硬件地址。从而实现流量劫持。

原理：由于arp的规则是主机只要收到一个arp请求，并不会判断真伪。而是直接将该请求的ip和硬件地址添加到自己的arp表中。若之前已经存在相同的ip的表项，则根据新的请求来更新该ip地址的硬件地址。

（1）攻击机kali

IP：192.168.153.130
硬件地址：00:0c:29:4f:50:d3

（2）被攻击机win7

IP：192.168.153.132
硬件地址：00:0c:29:1b:95:02

（3）网关

IP：192.168.153.2
硬件地址： 00-50-56-f8-ee-8d

首先看看正确的win7的arp表：

正常情况下，win7上网流量需要通过网关的转发发向目标网站。靶机通过arp协议，根据arp表的物理地址找到网关所在地址。arpspoof则伪造一个假的物理地址，将靶机的流量欺骗发往特定的主机。
ARP欺骗复现：
arpspoof的用法：

名字       
         arpspoof - 截获交换局域网中的数据包

用法
       arpspoof [-i interface] [-c own|host|both] [-t target] [-r] host

描述
       arpspoof通过伪造的ARP响应包改变局域网中从目标主机（或所有主机）到另一个主机（host）的数据包转发路径。这是交换局域网中嗅探网络流量的一种极为有效的方法。
       内核IP转发（或如fragrouter这样的、用户层面的、能完成同样功能的软件）必须提前开启。

参数
       -i interface
              指定要使用的接口（即指定一块网卡）

       -t target
              指定一个特殊的、将被ARP毒化的主机（如果没有指定，则认为是局域网中所有主机）。重复可以指定多个主机。

       -r     毒化两个主机（目标和主机（host））以捕获两个方向的网络流量。（仅仅在和-t参数一起使用时有效）

       host   host是你想要截获数据包的主机 (通常是网关)。

单向欺骗主要的参数是 -t -i。-t参数后第一个IP地址是要欺骗的主机，第二个IP地址是要伪装成的主机。-i是网卡

从左往右的含义是：发送者MAC地址：00:0c:29:4f:50:d3；接收者MAC地址：00:0c:29:1b:95:02；帧类型码：0806；包大小：42，字节；包内容：arp reply 192.168.153.2 is-at 0:c:29:4f:50:d3。
开始欺骗之后，win7不能上网。因为kali默认没有开启流量转发，/proc/sys/net/ipv4/ip_forward是配置文件，默认值是0，此时开启流量转发只需改成默认值为1。此时win7正常上网，完全发现不了有人在arp欺骗。

打开wireshark，可以抓到靶机浏览的ip地址。

发现182.61.200.7是百度的一个ip地址。也就是在劫持期间靶机浏览了百度。
Ctrl+z之后，被攻击机的arp表会恢复正常，因为arpspoof会发送清理包。

第二种是双向欺骗。

（1）一号靶机win7：

IP地址：192.168.153.132
mac地址：00:0c:29:1b:95:02

（2）二号靶机XP：

IP地址：192.168.153.133
mac地址：00-0C-29-AE-89-F8

可以发现kali分别给win7和xp发送欺骗的arp表，这样kali就能嗅探在win7和xp中互相通信的所有信息了。