一个简单的arp欺骗

高手飘过......................

1、简介

arp命令是黑客常用的命令，它可以添加静态MAC表项，这使得黑客可以使用arp进行arp欺骗。说到底还是arp协议自己的问题，因为arp协议是不会验证的，即受到一个arp，mac表项不加判断就写入。

2、arp测试

使用arp命令可以测试局域网中计算机是安装了防火墙还是关机。例如，你如果用ping命令ping局域网的一台主机，如果返回信息是“request timed out”。这可能是对方关机，也可能是对方开启了防火墙。防火墙规则是禁止ICMP报文的产生和接收的。这时候用arp -a就可以知道对方是不是开启。

说明211.69.206.86是没有关机的。

3、arp欺骗

如果在一个局域网中，A占用了一个IP1，但是你想要这个IP1怎么办呢？如果你设置成IP1的话，系统会提示你这个IP1已经被使用了。

在静态配置IP地址的局域网中，对于一个IP，谁先开机谁有优先权使用。后开机的可以通过攻击手段抢占IP。就是通过伪造报文，使路由器（或网关）arp记录指向自己。这样另一个已经占有这个IP的使用者长期得不到路由的转发服务，就会考虑换IP。这样就达到了抢占IP的目的。

本文要介绍的就是这种方法。但是如果对方开启了杀毒软件，或者不考虑换IP的话，那么你还是抢不到对方的IP，这种方法成功的前提是对方放弃自己的IP。

4、实例

首先要知道自己的想要的IP和MAC地址，然后是网关的IP和MAC地址。这可以通过arp -a查询。自己的mac可以通过ping /al查询。

使用软件Sniffer Pro，抓包。我们设置一下只抓arp包。如图：

我们对于抓的包随便选一个进行分析，找到几个关键的地方，就是本机MAC地址、源IP地址、目标物理地址、目标IP地址。

在解码框里面选择arp报文单击右键选“send Current Frame”命令弹出“send Current Frame”框。改变其中的四个值。本机MAC地址（填自己的）、源IP地址（填你想要的IP）、目标物理地址（网关的）、目标IP地址（网关的）。还有几个选项注意了，send方式里面选“Continuously”表示一直发。send Type选“100% of network”。

然后点击确定。这样，占有你想要的IP的那台主机会一直收到警告说是Ip冲突，当然如果有防护的话完全一点问题都没有。目前你就是要等对方主动放弃这个IP。然后你自己修改成那个Ip就成了。

此方法在现在看来已经不是什么大问题了。危害也不是很大。主要是可以从中学到一些东西，毕竟实战学习的东西比只是看看书要更有乐趣，更能够记住一些知识。高手就不要看此文章了。。。。