使用Cain进行DNS劫持、ARP欺骗

1.监听网络线路进行高效的数据包分析的一个关键决策是在哪里放置数据包嗅探器，以恰当的捕获网络数据。

数据包分析师通常把这个过程称之为监听网络线路。

简而言之，将数据包嗅探器安置在网络上恰当的物理位置的过程。

但是嗅探数据包并不像将一台笔记本电脑连入网络中那么的简单。

安置嗅探器的挑战是考虑种类繁多的用来连接网络的硬件设备。

1.1.混杂模式混杂模式实际上是一种允许网卡能够查看到所有流经网络线路数据包的驱动模式。

网络设备上的网卡驱动会识别出这个数据包对于他们来说没有任何用处，于是将数据包丢弃，而不是传递给CPU进行处理。

将目标不是这台接收主机的数据包进行丢弃可以显著的提高网络处理性能，但是这对于数据包分析师来说不是个好消息。

作为分析师，我们通常哟啊线路上传输每一个数据包，这样我们才不会担心丢失任何关键的信息。

我们可以使用网卡的混杂模式来确保能捕获所以网络流量。

现在网卡一般都支持混杂模式。

1.2.在集线器的网络中进行嗅探在使用集线器连接的网络中进行嗅探，对于任何数据包分析师来说，都是一个梦想。

流经集线器的所有网络数据包都会被发送到每一个集线器的连接的端口。

要分析一台连接到集线器上的电脑的网络通信，所需要做的就是将数据包嗅探器连接到集线器的任意一个空闲端口。

令人遗憾的是，集线器网络已经是非常罕见了，因为集线器网络传输效率很低，已经基本被淘汰了。

1.3.在交换网络中进行嗅探交换机是现在网络环境中最常见的连接设备类型，通过广播、单播与多播方式传输数据提供了高效的方法，设备还可以同时发送和接收数据。

然后这给数据包嗅探带来了一些复杂的因素。

当你将嗅探器连接到交换机上的一个端口时，你将只能看到端口所属VLAN内的广播数据包，以及由你自己电脑传输与接收的数据包。

从一个交换式网络中从一个目标设备捕获网络流量的基本方法如下4钟:端口镜像，集线器接出，使用网络分流器，ARP欺骗攻击。

1.3.1.端口镜像端口镜像是在交换式网络中捕获一个目标设备所以网络通信最简单的方法。

arp欺骗原理及过程ARP欺骗原理及过程ARP（Address Resolution Protocol）是一种用于将IP地址映射到MAC地址的协议。

在局域网中，每个设备都有一个唯一的MAC地址，而IP地址则由路由器分配。

当一个设备需要与另一个设备通信时，它需要知道目标设备的MAC地址才能发送数据包。

这时候就需要使用ARP协议来获取目标设备的MAC地址。

ARP欺骗是一种网络攻击方式，攻击者利用ARP协议的工作原理伪造网络中某个设备的MAC地址，使得其他设备将数据包发送到攻击者指定的目标设备上，从而实现窃取信息、中间人攻击等恶意行为。

1. ARP协议工作原理在局域网中，每个设备都有一个唯一的IP地址和MAC地址。

当一个设备需要与另一个设备通信时，它首先会查询本地缓存中是否已经记录了目标IP地址对应的MAC地址。

如果没有找到，则会发送一个ARP请求广播包到整个网络中。

ARP请求广播包包含以下信息：- 源IP地址：发出请求广播包的设备IP地址- 源MAC地址：发出请求广播包的设备MAC地址- 目标IP地址：要查询MAC地址对应的目标IP地址- 目标MAC地址：广播包中填充0当其他设备收到ARP请求广播包时，会检查其中的目标IP地址是否与自己的IP地址匹配。

如果匹配，则会向请求广播包的设备发送一个ARP响应包，其中包含自己的MAC地址。

ARP响应包包含以下信息：- 源IP地址：响应广播包的设备IP地址- 源MAC地址：响应广播包的设备MAC地址- 目标IP地址：发出请求广播包的设备IP地址- 目标MAC地址：发出请求广播包的设备MAC地址当发出请求广播包的设备收到ARP响应包时，就可以将目标IP地址对应的MAC地址记录在本地缓存中，并开始与目标设备进行通信。

2. ARP欺骗原理在局域网中，每个设备都可以发送ARP请求和ARP响应。

攻击者可以利用这一点发送伪造的ARP响应数据包，欺骗其他设备将数据发送到攻击者指定的目标设备上。

局域网ARP欺骗和攻击解决方法网络安全是目前关注度很高的点之一，其中一个网络攻击就是ARP欺骗攻击，现在已经成了破坏网吧经营的罪魁祸首，那ARP欺骗攻击如何解决呢?下面就由小编和大家说一下局域网ARP欺骗和攻击的的解决方法。

步骤如下：一、设置前准备1、当使用了防止ARP欺骗功能(IP和MAC绑定功能)后，最好是不要使用动态IP，因为电脑可能获取到和IP与MAC绑定条目不同的IP，这时候可能会无法上网，通过下面的步骤来避免这一情况发生吧。

2、把路由器的DHCP功能关闭：打开路由器管理界面，“DHCP 服务器”->“DHCP服务”，把状态由默认的“启用”更改为“不启用”，保存并重启路由器。

3、给电脑手工指定IP地址、网关、DNS服务器地址，如果您不是很清楚当地的DNS地址，可以咨询您的网络服务商。

二、设置防止ARP欺骗路由器1、具备这种一功能的路由器产品很多，下面我们以某一款路由器为例，设置路由器防止ARP欺骗。

打开路由器的管理界面可以看到如下的左侧窗口：2、可以看到比之前的版本多出了“IP与MAC绑定”的功能，这个功能除了可以实现IP和MAC绑定外，还可以实现防止ARP欺骗功能。

打开“静态ARP绑定设置”窗口如下：3、注意，默认情况下ARP绑定功能是关闭，请选中启用后，点击保存来启用。

打开“ARP映射表”窗口如下：4、这是路由器动态学习到的ARP表，可以看到状态这一栏显示为“未绑定”。

如果确认这一个动态学习的表没有错误，也就是说当时不存在arp欺骗的情况下(如果网络是正常运行的，而且不同的IP对应的MAC地址不一样，一般是没有错误的) ，我们把这一个表进行绑定，并且保存为静态表，这样路由器重启后这些条目都会存在，达到一劳永逸的效果。

点击“全部绑定”，可以看到下面界面：5、可以看到状态中已经为已绑定，这时候，路由器已经具备了防止ARP欺骗的功能，上面的示范中只有三个条目，如果您的电脑多，操作过程也是类似的。

CAIN使用教程五月 11, 2011CAIN是一个WINDOWS平台上的破解各种密码，嗅探各种数据信息，实现各种中间人攻击的软件。

首先下载cain软件CAIN下有两个程序，一个是CAIN主程序，一个是Abel服务程序。

Abel服务程序需要手动进行安装。

正确安装CAIN后从CAIN目录下拷贝和到C:\Windows\System32目录下，运行安装，并在服务里设置为自动启动。

运行CAIN，主界面如图所示我们先来看看CAIN的几个大类的使用，大类页面如下图一．解密器：解密器的作用主要是读取缓存中保存的各种密码。

你可以点击左边的各选项然后点击上面的你就可以在右边的窗口看到保存在缓存中的密码。

我的电脑中我都看到了我MSN 的账号和密码，曾经登陆路由的账号和密码，邮箱的密码。

举例：点击左边的无线网络口令，再点击上面的在右边的窗口你可以看到你曾经正确使用过的无线的密码都保存在这里，如下图所示。

大家可以清楚的看到SSID和后面的密码。

二．网络这个网络主要用来鉴别各域控制器，SQLserver，打印服务，远程拨入，终端服务等。

网络的左侧用来浏览网络结构和连接远程主机。

连接到主机就可列出用户名，工作者，服务，共享资源等。

如下图，我们清楚的看到SMM-DB1开启了IPC$默认共享连接和文件夹共享。

同时也可以搜索到计算机的用户组和组的用户名，虽然NT版本以后不能建立空连接了，但是还是可以通过提取SID来获得Admin的账号，因为管理员的SID总是500。

如下图所示三．嗅探器（包含局域网的嗅探和ARP欺骗）嗅探器是CAIN的重点，很多人用CAIN主要就是用这个嗅探器和ARP欺骗。

CAIN 中的嗅探器，主要嗅探局域网内的有用信息，比如各类密码等。

CAIN中的ARP的欺骗，原理是操纵两台主机的ARP缓存表，以改变它们之间的正常通信方向，这种通信注入的结果就是ARP欺骗攻击，利用ARP欺骗可以获得明文的信息。

1．程序配置首先点击菜单的配置按钮出现下图所示的配置菜单首先选择用于嗅探的以太网卡（可以是有线网卡也可以是无线网卡），本文中将选择第二个无线网卡。

ARP欺骗的原理，攻击，防御ARP协议简介 ARP是Address Resolution Protocol （地址解析协议）的缩写。

在以太⽹中，两台主机想要通信，就必须要知道⽬标主机的MAC （Medium/Media Access Control,介质访问控制）地址，如何获取⽬标主机的MAC地址呢？这就是地址解析协议ARP的⼯作。

地址解析协议的基本功能就是在主机发送数据之前将⽬标IP转换为MAC地址，完成⽹络地址到物理地址的映射，以保证两台主机能够正常通信。

ARP缓存表 任何⼀台主机安装了 TCP/IP协议都会有ARP缓存表，该表保存了这个⽹络（局域⽹）中各主机IP对应的MAC地址，ARP缓存表能够有效地保证数据传输的⼀对⼀特性。

在Windows 中可以使⽤arp-a命令来查看缓存表，结果如下：C:\>arp -aInterface: 192.168.1.8 0x20002Internet Address Physical Address192.168.1.1 00-27-19-66-48-84192.168.1.12 2c-d0-5a-05-8e-fl 在此时的ARP缓存表中可以看到，192.168.1.12对应的MAC地址为2c-d0-5a-05-8e-fl,并且类型为动态。

如果主机在⼀段时间内不与此IP 通信，将会删除对应的条⽬。

⽽静态ARP缓存条⽬是永久性的。

在Windows中建⽴静态类型的ARP缓存表可以使⽤arp -s命令，如： C:\>arp -s 192.168.1.23 f4-b7-e2-8f-ld-91 〃建⽴静态缓存表查看ARP缓存表可以发现，192.168.1.23类型已经变为静态，内容如下: C:\>arp -aInterface: 192.168.1.8 —— 0x20002Internet Address Physical Address Type192.168.1.1 00-27-19-66-48-84 dynamic192.168.1.23 f4-b7-e2-8f-ld-91 static如果想要清空ARP缓存表，可以使⽤arp -d命令；如果想删除单个条⽬，则可以使⽤arp -d ip命令。

arp欺骗原理ARP欺骗原理是一种利用ARP（地址解析协议）的漏洞，对局域网内的设备进行网络攻击的方法。

ARP协议是用于将IP地址转换为物理MAC地址的协议。

一般情况下，设备在进行网络通信时会先发送一个ARP请求，询问特定IP地址的设备的MAC地址。

然后接收到该请求的设备会返回一个包含自己MAC地址的ARP响应。

这样，源设备就可以将目标设备的IP与MAC地址关联起来，从而建立通信。

ARP欺骗利用的是ARP协议没有验证对方身份的漏洞。

攻击者可以通过伪造ARP请求或响应，将自己的MAC地址伪装成目标设备的MAC地址，以欺骗其他设备。

具体来说，下面是ARP欺骗的过程：1. 攻击者向局域网内发送ARP请求，询问目标设备的MAC地址。

2. 正常情况下，目标设备会回复一个包含自己MAC地址的ARP响应给攻击者。

3. 攻击者接收到ARP响应后，将自己的MAC地址伪装成目标设备的MAC地址，并不断发送伪造的ARP响应给其他设备。

4. 其他设备在接收到伪造的ARP响应后，会更新自己的ARP缓存表，将目标设备的IP地址与攻击者的MAC地址关联起来。

5. 当其他设备要与目标设备进行通信时，会将数据发送给攻击者的MAC地址，而攻击者则可以选择拦截、篡改、窃取这些数据。

通过ARP欺骗，攻击者可以获取其他设备的通信数据，进行拦截、篡改甚至窃取敏感信息。

此外，攻击者也可以通过将自己的MAC地址伪装成路由器的地址，实施中间人攻击，劫持网络通信。

为了防止ARP欺骗，可以采取以下措施：1. 搭建虚拟局域网（VLAN）进行隔离，限制ARP欺骗的范围。

2. 使用静态ARP表，手动添加设备的MAC地址与对应IP地址的映射，避免受到伪造的ARP响应的影响。

3. 定期清除ARP缓存表，更新设备的MAC地址。

4. 在网络中使用密钥认证机制，如802.1X，限制未授权设备的接入。

5. 使用加密的通信协议，确保数据在传输过程中的安全性。

以上是ARP欺骗的原理和防范措施的简要介绍，这种攻击方法在实际中仍然存在，并需要网络管理员和用户采取一系列的措施来保护网络安全。

arp欺骗的解决方案1.引言1.1 概述ARP欺骗是一种常见的网络攻击手段，攻击者利用ARP协议的漏洞，通过发送虚假的ARP响应帧来篡改目标主机的ARP缓存表，从而达到欺骗目标主机的目的。

这种攻击会给网络带来严重的安全风险，可能导致数据泄露、网络崩溃甚至入侵。

本文旨在探讨ARP欺骗的解决方案，以帮助用户更好地应对网络攻击。

文章将介绍两种主要的解决方案：使用静态ARP表和使用ARP防火墙。

这两种方案不仅可以帮助用户有效应对ARP欺骗攻击，还能提升网络的安全性和稳定性。

在介绍解决方案之前，我们先对ARP欺骗的原理和危害进行了解和分析。

通过深入理解ARP欺骗攻击的原理，我们能更好地认识到这种攻击对网络安全造成的威胁，进而更好地理解解决方案的重要性和必要性。

接下来，我们将详细介绍解决方案一：使用静态ARP表。

通过使用静态ARP表，用户可以手动将IP地址和MAC地址的映射关系设置为固定值，有效地防止ARP欺骗攻击。

我们将介绍如何正确配置和管理静态ARP 表，并探讨其优势和劣势。

然后，我们将讨论解决方案二：使用ARP防火墙。

ARP防火墙是一种软件或硬件设备，通过监测和过滤网络中的ARP请求和响应，可以检测和阻止恶意ARP欺骗行为。

我们将介绍ARP防火墙的原理和配置方法，以及其在网络安全方面的优势和不足之处。

最后，我们将对本文进行总结，并对所介绍的解决方案进行评价。

我们将从安全性、实用性和成本等方面对这两种解决方案进行评估，以帮助读者全面了解和选择适合自身需求的解决方案。

通过本文的阅读，读者将能够了解ARP欺骗攻击的危害，掌握两种常见的解决方案，并能根据自身的实际情况和需求选择适合的解决方案，提升网络的安全性和稳定性。

1.2 文章结构文章结构部分的内容可以描述文章的整体框架和组织方式，以及各部分的主要内容和目标。

具体内容可以参考以下示例：文章结构：本文主要分为以下几个部分：引言、正文和结论。

引言部分：在引言部分，我们将首先概述ARP欺骗的背景和现状，介绍该问题对计算机网络和信息安全的危害。

由cain 使用详细教程一个针对Microsoft操作系统的免费口令恢复工具。

号称穷人使用的L0pht crack。

它的功能十分强欺骗，破解加密口令、解码被打乱的口令、显示口令框、显示缓存口令和分析路由协议，甚至还可P拨打电话。

务程序，一般不会用到，我们重点来介绍Cain的使用。

先我们需要安装Winpcap驱动，就可以安装成功了以使用Cain了，让我们打开传说中的Cain，界面十分简单明了，可就不简单了。

密码：切换到“受保护的缓存口令”标签，点上面的那个加号密码全都显示出来了。

状况标签，可以清楚的看到当前网络的结构，我还看到内网其他的机器的共享目录，用户和服务，通过m-DB1开启了IPC$默认共享连接和其他盘隐藏共享。

与嗅探理是操纵两台主机的ARP缓存表，以改变它们之间的正常通信方向，这种通信注入的结果就是AR 探是Cain我们用的最多的功能了，切换到“嗅探”标签晰的看到内网中各个机器的IP和MAC地址。

Cain进行配置，先点最单击最上面的“配置”/]嗅探[/url]器”中选择要[url=/]嗅探[/url]的网卡，在“ARP(Arp 以伪造IP地址和MAC地址进行欺骗，避免被网管发现。

中可以设置过滤器，的需要选择过滤的端口，如[url=/]嗅探[/url]远程桌面密码的话，就钩选RDP 我要[url=/]嗅探[/url]上面的61.132.223.10机器，第二个网卡显示我的ip地，和目标机器是同一内网的，就使用第二个的网卡欺骗。

个标志开始[url=/]嗅探[/url]，旁边的放射性标志则是ARP欺骗。

/]嗅探[/url]了N久之后，点击下面的“截获密码”，嗅探所得到的密码会按分类呈现在、VNC、SMTP、ICQ等密码。

如果目标主机使用voip电话的话，还可以获得他使用voip电话的行Arp欺骗，点击下面的“ARP”标签，处单击，然后点上面的“加号”，出现“新建ARP欺骗”对话框，在左边选网关，右边选择被欺骗的IP 是，你的机器性能比网关差的话，会引起被欺骗机器变慢。

什么是IP地址劫持的方式IP地址劫持的方式是指通过某种手段来篡改或劫持网络通信中的IP 地址，从而使得通信的目标或中间节点受到控制或干扰。

IP地址劫持主要可以分为以下几种方式：一、DNS劫持DNS（Domain Name System，域名系统）是将域名解析为相应IP地址的系统。

DNS劫持即黑客攻击者通过篡改DNS服务器的解析记录，使得用户输入正确的域名时，被劫持到错误的IP地址。

用户在访问网站时，其实是访问了黑客控制的恶意网站，导致用户受到欺骗或遭受攻击。

二、ARP欺骗ARP（Address Resolution Protocol，地址解析协议）是将IP地址解析为相应MAC地址的协议。

ARP欺骗是指攻击者通过发送伪造的ARP响应包来欺骗网络中的设备，使得其将通信目标的IP地址映射到攻击者的MAC地址上。

这样攻击者就能够截获或篡改受害者的网络通信，进行信息窃取或者中间人攻击。

三、BGP劫持BGP（Border Gateway Protocol，边界网关协议）是用于互联网中路由器之间相互通信和交换路由信息的协议。

BGP劫持是指攻击者通过改变路由器之间的路由表信息，将正常的数据流量转发到攻击者控制的网络中。

这样攻击者就能够监视、篡改或干扰受害者的网络通信。

四、HTTP劫持HTTP劫持，也称为Web劫持，是指黑客攻击者通过篡改HTTP响应包或者HTTP请求包，来控制用户的浏览器行为或者获取用户的敏感信息。

攻击者可以在HTTP响应包中插入广告、恶意代码或者重定向用户浏览的网页，从而达到欺骗或攻击用户的目的。

五、WiFi劫持WiFi劫持是指攻击者通过创建恶意的WiFi热点，吸引用户连接并获取用户的敏感信息。

攻击者可以将恶意代码注入到用户设备上，或者通过中间人攻击来窃取用户的网络通信数据。

用户在使用公共WiFi 时，要注意连接正规的、可信的WiFi热点，避免受到WiFi劫持的威胁。

六、服务器劫持服务器劫持是指攻击者通过入侵服务器，篡改网站内容或者进行其他恶意操作。

什么是IP地址劫持的方法IP地址劫持是一种网络攻击手段，通过篡改目标主机的IP地址信息，使其无法正常与其他主机进行通信或者将其流量重定向到攻击者控制的伪造主机上。

这种攻击方式可以对目标主机造成严重的安全隐患，并可能导致信息泄露、数据篡改、系统瘫痪等后果。

下面将介绍三种常见的IP地址劫持的方法。

一、DNS劫持DNS劫持是一种最常见的IP地址劫持方式之一。

Domain Name System（域名系统）是将域名与IP地址进行映射的系统，当用户输入一个域名时，DNS服务器会将域名解析成相应的IP地址。

攻击者通过篡改DNS服务器的解析结果，将域名解析到错误的IP地址，从而将用户的请求发送到攻击者控制的伪造服务器上。

用户在访问被劫持的网站时，实际上与攻击者控制的服务器进行通信，使攻击者能够窃取用户的敏感信息或进行其他恶意行为。

二、ARP欺骗攻击ARP欺骗攻击是另一种常见的IP地址劫持方式。

ARP（Address Resolution Protocol）是将IP地址解析成MAC地址的协议，在局域网中用于进行主机之间的通信。

攻击者通过发送虚假的ARP请求和响应报文，欺骗目标主机认为攻击者的MAC地址与目标主机的IP地址对应，从而将目标主机的流量重定向到攻击者控制的伪造主机上。

通过这种方式，攻击者可以监听、中间人攻击或者拦截目标主机的通信内容。

三、BGP路由劫持BGP（Border Gateway Protocol）是路由器之间进行路由信息交换的协议，用于决定网络数据流量的转发路径。

攻击者可以通过虚假的BGP路由信息欺骗网络中的路由器，使其将通往目标主机的数据流量发送到攻击者控制的伪造路由上。

这样一来，目标主机的数据流量就会被劫持到攻击者控制的服务器上，攻击者可以对数据进行监控、篡改或者拦截。

为了防止IP地址劫持的方法，用户可以采取以下措施：1. 使用可靠的DNS解析服务，并定期验证DNS服务器的安全性；2. 设置防火墙，限制ARP请求和响应报文的发送和接收，防止ARP欺骗攻击；3. 定期更新路由器的路由表，确保BGP路由信息的有效性；4. 使用加密通信协议，对通信内容进行加密，防止中间人攻击；5. 注意访问网站时的安全性提示，避免点击可疑或不安全的链接。

Cain & Abel 是由Oxid.it开发的一个针对Microsoft操作系统的免费口令恢复工具。

号称穷人使用的L0phtcrack。

它的功能十分强大，可以网络嗅探，网络欺骗，破解加密口令、解码被打乱的口令、显示口令框、显示缓存口令和分析路由协议，甚至还可以监听内网中他人使用VOIP拨打电话。

Abel 是后台服务程序，一般不会用到，我们重点来介绍Cain的使用。

Cain安装：首先我们需要安装Winpcap驱动，一路next下去就可以安装成功了然后我们就可以使用Cain了，让我们打开传说中的Cain，界面十分简单明了，但是它的功能可就不简单了。

Cain使用：一、读取缓存密码：切换到“受保护的缓存口令”标签，点上面的那个加号缓存在IE里的密码全都显示出来了。

二、查看网络状况切换到“网络” 标签，可以清楚的看到当前网络的结构，我还看到内网其他的机器的共享目录，用户和服务，通过上图，我们清楚的看到Smm-DB1开启了IPC$默认共享连接和其他盘隐藏共享。

三、ARP欺骗与嗅探ARP欺骗的原理是操纵两台主机的ARP缓存表，以改变它们之间的正常通信方向，这种通信注入的结果就是ARP欺骗攻击。

ARP欺骗和嗅探是Cain我们用的最多的功能了，切换到“嗅探”标签在这里可以清晰的看到内网中各个机器的IP和MAC地址。

我们首先要对Cain进行配置，先点最单击最上面的“配置”在“嗅探器”中选择要嗅探的网卡，在“ARP(Arp Poison Routing)”中可以伪造IP地址和MAC地址进行欺骗，避免被网管发现。

在“过滤与端口”中可以设置过滤器，可以根据自己的需要选择过滤的端口，如嗅探远程桌面密码的话，就钩选RDP 3389端口。

小提示：比如我要嗅探上面的61.132.223.10机器，第二个网卡显示我的ip地址为61.132.223.26，和目标机器是同一内网的，就使用第二个的网卡欺骗。

单击网卡的那个标志开始嗅探，旁边的放射性标志则是ARP欺骗。

arp欺骗原理及过程一、ARP协议简介ARP（Address Resolution Protocol，地址解析协议）是一种用于将IP地址解析为物理MAC地址的协议。

在计算机网络中，每个设备都有一个唯一的MAC地址和IP地址，ARP协议通过查询网络中的ARP缓存表来获取目标IP地址对应的MAC地址，以便进行数据通信。

二、ARP欺骗的概念ARP欺骗（ARP Spoofing）是一种网络攻击技术，攻击者通过伪造ARP响应包，将自己的MAC地址伪装成网络中的某个合法设备的MAC地址，从而使网络中的其他设备将数据发送到攻击者的设备上，从而实现对网络通信的窃听、篡改和拒绝服务等攻击。

三、ARP欺骗的原理ARP欺骗利用了ARP协议的工作原理和局限性。

当一台设备需要向另一台设备发送数据时，会首先查询自己的ARP缓存表，如果找不到目标IP地址对应的MAC地址，则会发送一个ARP请求广播包到网络中，请求目标设备的MAC地址。

目标设备接收到ARP请求后，会发送一个ARP响应包回复请求设备，并将自己的MAC地址告知请求设备。

攻击者利用这个过程，伪造一个ARP响应包，并将自己的MAC地址伪装成目标设备的MAC地址。

当网络中的其他设备收到攻击者发出的伪造ARP响应包时，会将数据发送到攻击者的设备上，从而实现对网络通信的控制。

四、ARP欺骗的过程ARP欺骗的过程可以分为以下几个步骤：1. 获取目标设备的IP地址和MAC地址攻击者首先需要获取目标设备的IP地址和MAC地址，可以通过网络扫描、嗅探等方式进行获取。

2. 伪造ARP响应包攻击者使用自己的MAC地址伪装成目标设备的MAC地址，构造一个伪造的ARP响应包。

该ARP响应包中包含攻击者自己的MAC地址和目标设备的IP地址。

3. 发送ARP响应包攻击者将伪造的ARP响应包发送到网络中，通常使用ARP欺骗工具进行发送，如Ettercap、Cain&Abel等。

4. 欺骗网络设备当其他设备收到攻击者发送的伪造ARP响应包时，会将目标设备的MAC地址更新为攻击者的MAC地址。

我的主机（192.168.4.17）的mac地址;1，打开Cain软件，激活嗅探器，扫描主机。

如下设定扫描的mac地址范围：扫描所在范围的mac地址：点击配置对话框，设定中间人扫描时使用真实的mac地址;2.点击标签切换到ARP窗口。

点击工具栏上+符号类似图标，设置ARP中毒目标ip。

3.点击切换到ARP选项窗口。

点击工具栏类似放射性标志的图标。

表示开始使目标ip 中毒。

4，在主机192.168.4.17端使用telnet去访问主机192.168.4.116。

如下5.打开wireshark软件抓包，过滤arp协议，同时切换到口令窗口。

如下：可以看到中间人将自己的mac地址，换成接收方的mac地址了切换到嗅探器，右键telnet建立的连接条目，查看，可以看到接收方的管理员的登陆密码：我们可以看到用户名为AAddmmiinnssttssttoorr，密码为123.(实际用户名Administator，密码为123)；6，在主机192.168.4.17查看arp信息如下：可以看到目标192.168.4.116对应的mac为00-0c-1a-17-cc。

且为动态的。

二arp攻击预防。

Arp攻击预防可以通过静态绑定的方法来实现。

方法如下:1）在发送方绑定接收方的mac地址:使用命令进行绑定：arp –s 192.168.4.116 mac地址2）再用arp –a检查是否mac地址是否已变成静态的五、实验结果及分析通过这次的实验了解了arp工作的原理，以及利用arp协议的漏洞来进行中间人攻击，只是在实验的后面，被中间人攻击后，发送方无法ping通接收方。

可能是中间攻击人所在的虚拟机未完成对发送方帧的发送，致使接收方无法收到。

[文档可能无法思考全面，请浏览后下载，另外祝您生活愉快，工作顺利，万事如意!]。