2020-01-11

今日所学：

1. 一些关于计算机网络的基础，如计算机网络的模型，路由器，交换机，网桥的作用，各层的协议等
2. ARP欺骗：复习了快要还给大学老师的内容
3. ARP是地址解析协议，根据IP地址获取物理地址的一个TCP/IP协议
   主机发送信息时将包含目标IP地址的ARP请求广播到网络上的所有主机，并接收返回消息，以此确定目标的物理地址；收到返回消息后将该IP地址和物理地址存入本机ARP缓存中并保留一定时间，下次请求时直接查询ARP缓存以节约资源。
4. arp常用命令：
   arp -a或arp –g
   用于查看缓存中的所有项目。-a和-g参数的结果是一样的，多年来-g一直是UNIX平台上用来显示ARP缓存中所有项目的选项，而Windows用的是arp -a（-a可被视为all，即全部的意思），但它也可以接受比较传统的-g选项。
   arp -a Ip
   如果有多个网卡，那么使用arp -a加上接口的IP地址，就可以只显示与该接口相关的ARP缓存项目。
5. ARP欺骗（英语：ARP spoofing），又称ARP毒化（ARP poisoning，网上上多译为ARP病毒）或ARP攻击，是针对以太网地址解析协议（ARP）的一种攻击技术，通过欺骗局域网内访问者PC的网关MAC地址，使访问者PC错以为攻击者更改后的MAC地址是网关的MAC，导致网络不通。此种攻击可让攻击者获取局域网上的数据包甚至可篡改数据包，且可让网上上特定计算机或所有计算机无法正常连线。
6. ARP断网攻击
   Arpspoof –i 网卡 -t 目标ip 网关
   其中，-i后面的参数是网卡名称，-t后面的参数是目的主机和网关，截获目的主机发往网关的数据包
   通过fping命令，查看当前局域网还存在那些主机，以确定要攻击的主机的ip地址。
   断网攻击：arpspoof -i eth0 -t 192.168.18.130 192.168.18.254
   Arp -a 查看靶机网关mac地址的变化
7. 内网截获图片
   Arp欺骗：目标ip的流量经过我的网卡，从网关出去。
   Arp断网：目标ip的流量经过我的网卡
   1. echo 1 >/proc/sys/net/ipv4/ip_forward
      设置ip流量转发，不会出现断网现象
   2. 在ARP欺骗前，检查是否能够上网
   3. 进行ARP欺骗：arpspoof -i eth0 -t 192.168.18.102 192.168.18.254
   4. 因为开启了ip流量转发，所以此时win7是可以上网的
   5. 查看一下ARP缓存表，发现欺骗成功
   6. 在命令行输入：driftnet –i eth0，会出现一个小窗口，不要关闭，放大窗口
      （Driftnet是一个监听网络流量并从它观察到的TCP流中提取图像的程序。）