先學習arp斷網(wǎng)是如何實現(xiàn)的

PC在一個局域網(wǎng)中，通信首先要有IP地址和mac地址，PC1在連接PC2時，會先查看自己的ARP緩存表，我們可以用arp-a

命令查看arp緩存表，緩存表里存著大量MAC地址和ip地址的映射，Pc1要訪問PC2，會先查看緩存表是否有pc2對應的mac地址，如果沒有，就發(fā)出一個廣播包，發(fā)給交換機，交換機給每個端口發(fā)送廣播包，PC2收到廣播包后發(fā)出應答包“我是10.9.136.55”，發(fā)送給pc1，PC1會把這個ip，mac地址寫入arp緩存表。

交換機也有一個端口和mac映射表，PC1要發(fā)送一個數(shù)據(jù)給PC2，會告訴交換機一個MAC地址，交換機通過查找端口號和MAC地址映射表，找到數(shù)據(jù)包要發(fā)送到的端口

正常情況下PC1發(fā)送給PC2的廣播包其他機器是不會應答的，網(wǎng)關是互聯(lián)網(wǎng)的出口，如果PC想要訪問外網(wǎng)，還需要配置網(wǎng)關，通過route print和ipconfig命令都可以查看網(wǎng)關，網(wǎng)關也可以理解為1臺PC，有他的ip和MAC地址，接下來就是介紹arpspoof了，本來PC1不能和網(wǎng)關通信，所以將網(wǎng)關的IP和mac地址映射到arp緩存表，PC1需要發(fā)送廣播包詢問誰是網(wǎng)關，而此時PC3說他是網(wǎng)關，如果PC3不對數(shù)據(jù)進行轉發(fā)，就會造成ARP斷網(wǎng)攻擊，而arpspoof實現(xiàn)的就是這個效果

arpspoof -i eth0 -t 目標主機ip -r 網(wǎng)關地址

eth0為我的kali網(wǎng)卡，與目標主機在同一網(wǎng)段，查看受害者機器的網(wǎng)關ARP信息，發(fā)現(xiàn)網(wǎng)關MAC地址已經(jīng)變?yōu)楣粽遦ali機器的MAC地址，ARP斷網(wǎng)攻擊成功，但是要注意的是，arp斷網(wǎng)攻擊一旦開始網(wǎng)絡即會中斷，因此黑客常使用arp欺騙攻擊

arp欺騙攻擊通過修改/proc/sys/net/ipv4/ip_forward參數(shù)，默認是0，不進行轉發(fā)，進行ip流量轉發(fā)，不會出現(xiàn)斷網(wǎng)現(xiàn)象。修改命令為：

echo 1>/proc/sys//net/ipv4/ip_forward

這時候，可以利用driftnet等工具實現(xiàn)監(jiān)控

如何防御arp斷網(wǎng)攻擊

1、靜態(tài)ARP綁定（-s 表示靜態(tài) -d表示動態(tài)）

arp -s 192.168.201.2 00-50-56-fa-b0-42

arp -s 192.168.201.136 00-0C-29-6C-3F-27

arp -a 查看ARP緩存表（適用于WIN7系統(tǒng)）

netsh interface ipv4 show interfaces

我的虛擬機的上網(wǎng)網(wǎng)卡是本地連接，找到id

netsh -c "i i" add ne 11 網(wǎng)關 網(wǎng)關mac地址

netsh -c "i i" delete ne 11

2、使用ARP防火墻

3、使用可防御ARP攻擊的核心交換機，綁定端口-MAC-IP