ARP欺骗主要骑着信息收集得作用，比如可以利用欺骗获取对方流量，从流量分析你认为重要得信息

0X01  了解ARP

Arp协议

ARP（Address Resolution Protocol，地址解析协议）是一个位于TCP/IP协议栈中的网络层，负责将某个IP地址解析成对应的MAC地址。

以太网（局域网）进行信息传输时，不是根据IP地址进行通信，因为IP地址是可变的，用于通信是不安全的。然而MAC地址是网卡的硬件地址，一般出厂后就具有唯一性。ARP协议就是将目标IP地址解析成MAC地址进行验证通信。

ARP通信原理

每台主机都会在自己的ARP缓冲区建立一个ARP列表（生命周期二十分钟），用于表示IP地址和MAC地址的对应关系。而这份协议信任以太网所有节点，不检查自己是否接受或发送过请求包，只要收到ARP广播包，他就会把对应得IP-mac更新到自己得缓存表，这就导致我们可以不停的向以太网发送ARP广播包，更i性能ip-mac缓存表

0X02  实验环境：

靶机  IP：192.168.0.101      mac：00:f4:8d:18:de:e8

中间人Kali     IP：192.168.0.104     mac：00:0c:29:cc:35:6b

FTP服务器    IP：192.168.0.103     mac：00:0c:29:cc:5d:22

使用工具arpspoof、tcpdump

a)   linux因为系统安全，是不支持IP转发的，其配置文件写在/proc/sys/net/ipv4的ip_forward中。默认为0，需要修改为1

echo "1"> /proc/sys/net/ipv4/ip_forward

b)   查看arp攻击前靶机ARP表中FTP服务器得mac地址

c)    使用arpspoof实现双向欺骗

靶机去寻找FTP的IP地址，正常情况下首先去ARP缓冲区寻找ARP列表，知道FTP的mac为00:0c:29:cc:5d:22，在表里寻找对应的IP地址进行连接，此时使用arpspoof更新靶机的ARP列表，使的Kali的mac与FTP服务器的ip成一一对应关系（注意的一处误区：当查看arp表时会发现两个IP对应一个mac地址，其中一个IP是Kali的，两个IP都会收到靶机的流量，并不会截断原来的流量），同理欺骗FTP服务器Kali是靶机，使的Kali在中间起到转发流量的作用

arpspoof –i eth0 –t 192.168.0.101  192.168.0.103  #参数：-i 指Kali所用网卡，-t 表示目标 使用这条语句得作用：对192.168.0.101说，我是192.168.0.103，工具会更新靶机的ARP表，Kali的IP会和192.168.0.103的mac对应上

arpspoof –i eth0 –t 192.168.0.103  192.168.0.101  #同上

以上两条命令可合并为一条  arpspoof –r 参数

毒化两个主机（目标和主机（host））以捕获两个方向的网络流量。（仅仅在和-t参数一起使用时有效）

arpspoof -i eth0 -t 192.168.11.101 -r 192.168.11.3

d)  在靶机上查看FTP服务器的mac地址

f)  使用工具tcpdump监听ftp端口21端口并将所截获数据包导入到1.txt中（如没有1.txt，则自动新建）

tcpdump -nn -X -i eth0 tcp prot 21 > 1.txt

在文件中查找有用信息，比如user password

原文地址：https://www.cnblogs.com/sup3rman/p/12324512.html