攻击

PC1的IP地址 10.9.136.222
PC2的IP地址 10.9.136.55

在局域网里通信 需要有IP地址和MAC地址
两台电脑PC1和PC2要想相互通信，PC1在连接PC2的时候，PC1会先查看自己的ARP缓存表（命令：arp -a ） ，看一下有没有 10.9.136.55对应的MAC地址，如果没有10.9.136.55对应的MAC地址，向交换机发送广播包，交换机会给每个接口都发送，当PC2收到消息后，会产生应答包，PC2把它的MAC地址发给交换机，目的地址会发送到PC1，（因为广播包是PC1发送的），PC1会把PC2的IP地址和MAC地址写入自己的ARP缓存表里

ARP欺骗原理：

      在局域网中，主机通信前必须通过ARP协议把IP地址转换为MAC地址，ARP欺骗就是通过伪造IP地址与MAC地址的映射关系实现的一种欺骗攻击。因为局域网内的主机根据MAC地址进行通信，发送方检查其ARP缓存中是否已存储目标IP的MAC地址，否则它会广播发送ARP请求报文，只有目标IP的主机才会响应一个包含其MAC地址的ARP应答报文，发送方收到该应答后，立即更新自身的ARP缓存。攻击者可以发送虚假的ARP请求或应答报文，使得目标主机接收错误的IP和MAC绑定关系

---

实验准备

win7    网卡nat模式
kali    网卡nat模式   攻击方

1、win7：先ping一下，能否上网

ping www.baidu.com

2、win7：查看网关

ipconfig

3、win7：查看ARP缓存表，查看网关的MAC地址

arp -a

4、win7： 让它 一直ping下去

ping www.baidu.com -t

5、kali：开始攻击

arpspoof -i eth0 -t 192.168.241.130 -r 192.168.241.2
-i  选择网卡
-t  被攻击方的IP地址
-r  网关IP地址

在发动攻击的时候，网关的MAC地址被改成了攻击方kali的MAC地址，导致上不了网

防御

1、查看网关

ipconfig

2、查看网关对应的MAC地址为动态类型,

arp -a

3、查看本地网卡所对应的Idx值,以太网所对应的Idx值为2

netsh interface ipv4 show interfaces

#简写
netsh i i show in

4、静态绑定IP地址和MAC地址

# 2 代表网卡的Idx值 
# 以管理员身份运行该命令
# 绑定网关的IP地址和MAC地址
netsh -c "i i" add ne 2 10.9.136.1 50-6f-77-89-ad-92

5、再次查看arp缓存表

arp -a

6、取消arp静态绑定

#取消静态绑定
netsh -c "i i" delete ne 2

以上操作不能完全防御

在路由器出故障的情况下，换了一个新的路由器，那么物理地址就变了

再做了静态绑定就会导致无法上网，就需要解除与旧路由器的MAC地址绑定，绑定新的路由器MAC地址

可以使用软件360安全卫士

开启前三个功能

如果受到arp断网攻击，360安全卫士会提示，可以查看详细日志

360安全卫士有弹窗，可以安装火绒拦截弹窗