使用 Wireshark 实现 ARP 嗅探监听网络

一、ARP 嗅探原理

ARP嗅探（ARP Spoofing）是一种网络攻击技术，攻击者通过欺骗局域网内的设备，获取其通信中的敏感信息。ARP（Address Resolution Protocol）是用于将IP地址映射到MAC地址的协议，攻击者通过ARP欺骗来伪造网络设备的MAC地址，以获取网络流量或中间人攻击。

下面是ARP嗅探的工作原理：

1. 攻击者发送ARP请求：攻击者在局域网内发送一个ARP请求，询问目标设备的MAC地址，但将源IP地址设置为受害者的IP地址。

2. 受害者回复ARP响应：目标设备收到ARP请求后，会将其MAC地址发送给攻击者，以回复ARP响应。

3. 攻击者欺骗网络设备：攻击者将受害者的IP地址与攻击者自己的MAC地址进行映射，并将其广播到局域网中，伪造一个ARP响应。

4. 网络设备更新ARP缓存：其他网络设备在接收到攻击者伪造的ARP响应后，会将受害者的IP地址与攻击者的MAC地址进行映射，并更新其ARP缓存。

5. 攻击者截取通信：当受害者发送数据包时，它们会被发送到攻击者的设备，攻击者可以截取这些数据包并获取其中的敏感信息。

ARP嗅探的目的通常是拦截网络流量，并进行中间人攻击（如欺骗登录凭证、窃取数据等）。这种攻击方法对于未经身份验证的网络通信特别有效，因为ARP协议是基于信任的，没有对请求者身份进行验证。

二、ARP 嗅探防御

为了防止ARP嗅探攻击，可以采取以下措施：

1. 使用静态ARP绑定：将IP地址与MAC地址进行静态绑定，限制ARP缓存的动态更新。

2. 使用安全ARP协议：如ARP防火墙，限制未经授权的ARP通信。

3. 使用网络流量监控和入侵检测系统（IDS）：IDS可以检测到异常的ARP流量，如重复的ARP响应或大量的ARP请求。

4. 使用加密和身份验证：使用加密协议（如TLS）来保护敏感数据的传输，并进行身份验证以防止中间人攻击。

5. 使用虚拟专用网络（VPN）：通过使用VPN来加密通信流量，防止ARP欺骗对流量的截取和篡改。

6. 定期更新和监控网络设备：及时应用网络设备的安全补丁，并定期监控网络设备的日志，以检测和响应任何潜在的攻击行为。

通过采取这些预防措施，可以减少ARP嗅探攻击的风险，保护网络和用户的安全。

三、实操演示

注意：需在同一局域网内

受害者：Windows 10

攻击者：Kail

打开 Wireshark，点击 Capture，点击 OPtions，勾选开启混合模式，最后点击 Start

如图所示，受害者发送的包咱们也能接收到