ARP欺骗攻击

+ 1.最常用的方法就是做双绑定， 本地跟路
由都做了绑定(注:mac地址绑定)
+ 2.使用ARP防火墙
+ WinArpAttacker是一个很出名的ARP攻击工
具，
+ 进行使用前，要先进行设置，打开菜单“设置”
适配器选择你将要扫描的那个适配器（和嗅探器的使用类似）， 选择自己的IP和网关IP，然后按下“应用”和“确定”。
+ 接下来就是扫描， ，我们目前只需要使用到
扫描局域网即可。扫描后显示区会显示结果：
+ 如果X这台主机不冒充主机B，而是冒充网关，
那后果会怎么样呢？如果主机X向全网不停的 发送ARP欺骗广播，大声说：“我的IP地址是 192.168.0.1，我的硬件地址是MAC_X”，这时 局域网中的其他主机并没有察觉到什么，因为 局域网通信的前提条件是信任任何主机发送的 ARP广播包。这样局域网中的其他主机都会更 新自身的ARP缓存表，记录下192.168.0.1－ MAC_X这样的记录，这样，当它们发送给网关， 也就是IP地址为192.168.0.1这台主机的数据， 结果都会发送到MAC_X这台电脑中！这样，主 机X就将会监听整个局域网发送给互联网的数 据包。
+ ARPFra Baidu bibliotek骗分为二种，一种是对路由器ARP表的
欺骗；另一种是对内网PC的网关欺骗 + 第一种ARP欺骗的原理是——截获网关数据。 它通知路由器一系列错误的内网MAC地址，并 按照一定的频率不断进行，使真实的地址信息 无法通过更新保存在路由器中，结果路由器的 所有数据只能发送给错误的MAC地址，造成正 常PC无法收到信息。 + 第二种ARP欺骗的原理是——伪造网关。它的 原理是建立假网关，让被它欺骗的PC向假网关 发数据，而不是通过正常的路由器途径上网。 在PC看来，就是上不了网了，“网络掉线了”。
+ 网络数据的基本传送流程是 + 信息发送--网关--信息接收 + 如果有某台机器感染了arp,他会冒充网关主机，
当有数据通过 这个假冒的网关时，正常的数 据就会被这个假网关插入病毒代码，被插入病 毒的数据传送到了接收方，那接收方就也可能 会中毒，成为又一个假网关， arp病毒就是以 此方式迅速蔓延就好比你寄信时，帮你投递的 是一个假邮递员，他把你的信里放入了病毒， 那收信人就会被病毒感染，冒充邮递员再去骗 别人
+ 注意，此时它竟然冒充自己是主机B的IP地址，
而MAC地址竟然写成自己的！由于主机X不停 地发送这样的应答数据包，本来主机A的ARP缓 存表中已经保存了正确的记录：192.168.0.4－ MAC_B，但是由于主机X的不停应答，这时主 机A并不知道主机X发送的数据包是伪造的，导 致主机A又重新动态更新自身的ARP缓存表，这 回记录成：192.168.0.4－MAC_X，很显然，这 是一个错误的记录(也叫ARP缓存表中毒)，这 样就导致以后凡是主机A要发送给主机B，也就 是IP地址为192.168.0.4这台主机的数据，都将 会发送给MAC地址为MAC_X的主机，这样主机 X就劫持了由主机A发送给主机B的数据！这就 是ARP欺骗的过程
ARP欺骗攻击
+ ARP（Address Resolution Protocol）是地址
解析协议， + 是一种将IP地址转化成物理地址的协议。从 IP地址到物理地址的映射有两种方式：表格 方式和非表格方式。ARP具体说来就是将网 络层（也就是相当于OSI的第三层）地址解 析为数据链路层（也就是相当于OSI的第二 层）的物理地址(注:此处物理地址并不一定 指MAC地址)。
+ 从ARP协议的工作过程，我们可以看出，ARP协议数
据发送机制有一个致命的缺陷，即它是建立在对局 域网中主机全部信任的基础上的，也就是说它的假 设前提是：无论局域网中哪台主机，其发送的ARP 数据包都是正确的。那么这样就很危险了！因为局 域网中并非所有的主机都安分守己，往往有非法者 的存在。比如在上述数据发送中，当主机A向全网 询问“我想知道IP地址为192.168.0.4的主机的硬件 地址是多少？”后，主机B也回应了自己的正确 MAC地址。但是当此时，应该沉默的主机X也回话 了：“我的IP地址是192.168.0.4，我的硬件地址是 MAC_X”，
+ 在显示区的方框内勾选你要攻击的对象， + + + + + +
+
按下攻击按钮 ，弹出一堆攻击： 攻击功能有六个： FLOOD：不间断的IP冲突攻击 BANGATEWAY：禁止上网 IPConflict：定时的IP冲突 SniffGateway：监听选定机器与网关的通讯 SniffHosts：监听选定的几台机器之间的通 讯 SniffLan：监听整个网络任意机器之间的通 讯，这个功能过于危险，可能会把整个网 络搞乱，建议不要乱用（没想象中厉害）。
+ 某机器A要向主机B发送报文，会查询本地的ARP缓
存表，找到B的IP地址对应的MAC地址后，就会进行 数据传输。如果未找到，则A广播一个ARP请求报文 （携带主机A的IP地址Ia——物理地址Pa），请求IP 地址为Ib的主机B回答物理地址Pb。网上所有主机包 括B都收到ARP请求，但只有主机B识别自己的IP地 址，于是向A主机发回一个ARP响应报文。其中就包 含有B的MAC地址，A接收到B的应答后，就会更新 本地的ARP缓存。接着使用这个MAC地址发送数据 （由网卡附加MAC地址）。因此，本地高速缓存的 这个ARP表是本地网络流通的基础，而且这个缓存 是动态的。
ArpSQ：是该机器的发送ARP请求包的个数 ArpSP：是该机器的发送回应包个数 ArpRQ：是该机器的接收请求包个数 ArpRQ：是该机器的接收回应包个数 Packets:是转发的数据包个数，这个信息在进行SPOOF时才有用。 Traffic：转发的流量，是K为单位，这个信息在进行SPOOF时才有用。