ArpSpoof斷網(wǎng)測試工具

ArpSpoof斷網(wǎng)測試工具，主要功能為ARP欺騙，可以實現(xiàn)讓內(nèi)網(wǎng)的指定目標無法上網(wǎng)，ArpSpoof一般適合局域網(wǎng)管理人員使用，可以隨時切斷目標設備的聯(lián)網(wǎng)環(huán)境，確保整個局域網(wǎng)設備的安全。本次帶來ArpSpoof最新PC版下載，單文件程序，操作簡單方便，想要了解詳細的ARP欺騙原理的朋友們可以了解一下。

ArpSpoof原理

ARP欺騙的運作原理是由攻擊者發(fā)送假的ARP數(shù)據(jù)包到網(wǎng)上，尤其是送到網(wǎng)關上。其目的是要讓送至特定的IP地址的流量被錯誤送到攻擊者所取代的地方。因此攻擊者可將這些流量另行轉(zhuǎn)送到真正的網(wǎng)關（被動式數(shù)據(jù)包嗅探，passive sniffing）或是篡改后再轉(zhuǎn)送（中間人攻擊，man-in-the-middle attack）。攻擊者亦可將ARP數(shù)據(jù)包導到不存在的MAC地址以達到阻斷服務攻擊的效果，例如netcut軟件。

例如某一的IP地址是192.168.0.254，其MAC地址為00-11-22-33-44-55，網(wǎng)上上的計算機內(nèi)ARP表會有這一筆ARP記錄。攻擊者發(fā)動攻擊時，會大量發(fā)出已將192.168.0.254的MAC地址篡改為00-55-44-33-22-11的ARP數(shù)據(jù)包。那么網(wǎng)上上的計算機若將此偽造的ARP寫入自身的ARP表后，計算機若要透過網(wǎng)上網(wǎng)關連到其他計算機時，數(shù)據(jù)包將被導到00-55-44-33-22-11這個MAC地址，因此攻擊者可從此MAC地址截收到數(shù)據(jù)包，可篡改后再送回真正的網(wǎng)關，或是什么也不做，讓網(wǎng)上無法連線。

ArpSpoof案例

這里用一個最簡單的案例來說明ARP欺騙的核心步驟。假設在一個LAN里，只有三臺主機A、B、C，且C是攻擊者。

攻擊者聆聽局域網(wǎng)上的MAC地址。它只要收到兩臺主機洪泛的ARP Request，就可以進行欺騙活動。

主機A、B都洪泛了ARP Request.攻擊者現(xiàn)在有了兩臺主機的IP、MAC地址，開始攻擊。

攻擊者發(fā)送一個ARP Reply給主機B，把此包protocol header里的sender IP設為A的IP地址，sender mac設為攻擊者自己的MAC地址。

主機B收到ARP Reply后，更新它的ARP表，把主機A的MAC地址（IP_A, MAC_A）改為（IP_A, MAC_C）。

當主機B要發(fā)送數(shù)據(jù)包給主機A時，它根據(jù)ARP表來封裝數(shù)據(jù)包的Link報頭，把目的MAC地址設為MAC_C，而非MAC_A。

當交換機收到B發(fā)送給A的數(shù)據(jù)包時，根據(jù)此包的目的MAC地址（MAC_C）而把數(shù)據(jù)包轉(zhuǎn)發(fā)給攻擊者C。

攻擊者收到數(shù)據(jù)包后，可以把它存起來后再發(fā)送給A，達到偷聽效果。攻擊者也可以篡改數(shù)據(jù)后才發(fā)送數(shù)據(jù)包給A，造成傷害。

相關新聞

在網(wǎng)絡中運行的主機在很多時候是通過 DHCP Server來獲取IP地址的。如果網(wǎng)絡中存在私自架設的DHCP Server仿冒者，則可能導致DHCP客戶端獲取錯誤的IP地址和網(wǎng)絡配置參數(shù)，無法正常通信。DHCP Snooping信任功能可以控制DHCP服務器應答報文的來源，以防止網(wǎng)絡中可能存在的DHCP Server仿冒者為DHCP客戶端分配IP地址及其他配置信息。