前言
arp欺骗，主要起着信息收集的作用，比如你可以利用欺骗获取对方的流量，从流量分析你认为重要的信息，例如某某账号密码。或是利用Arp攻击，切断局域网内某一用户的网络访问（单向欺骗）。

MITM
中间人攻击（Man-in-the-MiddleAttack，简称“MITM攻击”）是一种“间接”的入侵攻击，这种攻击模式是通过各种技术手段将受入侵者控制的一台计算机虚拟放置在网络连接中的两台通信计算机之间，这台计算机就称为“中间人”。
当主机A、和主机B通信时，都由主机C来为其“转发”。

准备
攻击机:Kali
靶机:物理机
arpspoof
攻击机与靶机要在同一局域网内

利用arpspoof断网

用法
arpspoof [-i interface] [-c own|host|both] [-t target] [-r] host

描述
arpspoof通过伪造的ARP响应包改变局域网中从目标主机（或所有主机）到另一个主机（host）的数据包转发路径。这是交换局域网中嗅探网络流量的一种极为有效的方法。内核IP转发（或如fragrouter这样的、用户层面的、能完成同样功能的软件）必须提前开启。

参数

-i interface
    # 指定要使用的接口（即指定一块网卡）
-c own|host|both
    # 指定在恢复ARP配置时使用的硬件地址；当在清理（cleaning up）时，数据包的源地址可以用自己的也可以用主机（host）的硬件地址。使用伪造的硬件地址可能导致某些配置下的交换网络、AP网络或桥接网络通信中断，然而它比起默认值————使用自己的硬件地址要工作地更为可靠。
-t target
    # 指定一个特殊的、将被ARP毒化的主机（如果没有指定，则认为是局域网中所有主机）。重复可以指定多个主机。
-r  
    # 毒化两个主机（目标和主机（host））以捕获两个方向的网络流量。（仅仅在和-t参数一起使用时有效）
host   
    #你想要截获数据包的主机 (通常是网关)。

开始断网

arpspoof -i eth0 -t 靶机ip 网关

靶机访问百度发现已经被打断网了

arp欺骗进行MITM

工具
kali
nmap
arpspoof
ettercap
driftnet

开始
linux因为系统安全，是不支持IP转发的，其配置文件写在/proc/sys/net/ipv4的ip_forward中。默认为0，需要修改为1

echo 1 >/proc/sys/net/ipv4/ip_forward

如果想实行断网攻击的话，可以设置回来

echo 0 >/proc/sys/net/ipv4/ip_forward

开启arp欺骗,因为转发了ip,目标不会断网,流量会往kali走

arpspoof -i eth0 -t ip 网关

既然目标的流量会往kali走,开启driftnet捕获图片

driftnet -i eth0

ettercap抓取账号密码

ettercap -Tq -i eth0

没有环境就不演示了,一般是以post上传的明文密码,抓取到了就会在这里显示出来

仅供学习交流,违者后果自负!