1、網絡攻擊拓撲環境

網關：192.168.133.2

攻擊者：192.168.133.128

受害者：192.168.133.137

2、原理講解

ARP欺騙

簡介：ARP（Address Resolution Protocol）是地址解析協議，是一種將IP地址轉化成物理地址的協議。從IP地址到物理地址的映射有兩種方式：表格方式和非表格方式。ARP具體說來就是將網絡層（也就是相當於OSI的第三層）地址解析為數據鏈路層（也就是相當於OSI的第二層）的物理地址(注:此處物理地址並不一定指MAC地址)。

原理：主機A要向主機B發送報文，會查詢A本地的ARP緩存表，找到B的IP地址對應的MAC地址后，就會進行數據傳輸。如果未找到，則A廣播一個ARP請求報文（攜帶主機A的IP地址Ia——物理地址Pa），請求IP地址為Ib的主機B回答物理地址Pb。網上所有主機包括B都收到ARP請求，但只有主機B識別自己的IP地址，於是向A主機發回一個ARP響應報文。其中就包含有B的MAC地址，A接收到B的應答后，就會更新本地的ARP緩存。接着使用這個MAC地址發送數據（由網卡附加MAC地址）。因此，本地高速緩存的這個ARP表是本地網絡流通的基礎，而且這個緩存是動態的。

ARP欺騙是黑客常用的攻擊手段之一，ARP欺騙分為二種，一種是對路由器ARP表的欺騙；另一種是對內網PC的網關欺騙。

手段：一是arpspoof泛洪，溢出arp換成表；而是欺騙受害者；

arp命令：

arp –a：查看arp緩存信息

arp –d：刪除arp緩存信息

arp –s：添加一個arp響應

DNS欺騙

簡介：DNS欺騙就是攻擊者冒充域名服務器的一種欺騙行為。

原理：如果可以冒充域名服務器，然后把受害者查詢域名的IP地址設為攻擊者的IP地址，這樣的話，用戶上網就訪問域名時就會訪問攻擊者的主頁，而不是用戶想要取得的網站的主頁了，這就是DNS欺騙的基本原理。DNS欺騙其實並不是真的“黑掉”了對方的網站，而是冒名頂替、招搖撞騙罷了。

hosts文件：

windows：C:\Windows\System32\Drivers\etc(針對系統有所不同)

Linux：/etc/hosts

3、Ettercap工具講解

簡介：Ettercap最初設計為交換網上的sniffer(嗅探工具)，但是隨着發展，它獲得了越來越多的功能，成為一款有效的、靈活的中介攻擊工具。它支持主動及被動的協議解析並包含了許多網絡和主機特性（如OS指紋等）分析。

安裝：有許多版本，大家可以自行下載安裝；

工作模式：

ipbased：基於ip地址的sniffing(源IP與目的IP)；

macbased：基於mac地址的sniffing(在捕獲網關的數據包，常用)；

arpbased：在基於ARP欺騙的方式下，Ettercap利用ARP欺騙在交換局域網內監聽兩個主機之間的通信（全雙工）；

smartarp：在SMARTARP方式下，Ettercap利用ARP欺騙，監聽交換網上某台主機與所有已知的其他主機（存在於主機表中的主機）之間的通信（全雙工）；

publicarp：在PUBLICARP 方式下，Ettercap利用ARP欺騙，監聽交換網上某台主機與所有其它主機之間的通信（半雙工）。此方式以廣播方式發送ARP響應，但是如果 Ettercap已經擁有了完整的主機地址表（或在Ettercap啟動時已經對LAN上的主機進行了掃描），Ettercap會自動選取 SMARTARP方式，而且ARP響應會發送給被監聽主機之外的所有主機，以避免在Win2K上出現IP地址沖突的消息；

參數說明：

-a或- -arpsniff：基於arp的sniffing(如果你想采用中間人技術，必選)；

-s或- -sniff：基於IP的sniffing(適用於HUB環境)；

-m或- -macsniff：基於MAC，適用於監聽遠程的通信；

-T或- -readpacpfile：脫機sniffing，Ettercap將監聽一個pcap兼容文件中存儲的網絡數據包；