本次实验采用虚拟机完成，虚拟机须在同一网段

一、虚拟机

kali，Windows7

攻击方：kali

靶机方：Windows7

二、下载driftnet软件

直接输入driftnet，系统会给下载提示

三、ARP攻击

需要两个主机可以连通

靶机IP：192.168.8.132，网关：192.168.8.2

1、命令攻击

首先使用arp -a查看windows7的arp转换表

测试网络连通性

使用命令arpspoof -i 本机网卡 -t 被攻击目标IP 被攻击网关,使用“ctrl+c”可以停止攻击

查看windows的arp表，发现arp表中网关的mac地址与kali攻击机物理地址一样

再次尝试ping ，出现找不到主机

访问百度无法访问

关闭arp攻击后恢复访问

2、可视化工具ettercap

在cmd中敲入ettercap -G打开工具

将 sniffing at startup开关关闭，选择eth0网卡

选择右上角√符号运行

点击放大镜搜索IP，再将IP显示出来

网关地址添加到target1，靶机地址添加到target2

配置其它信息，选怎ARP poisoning

点击sniff remote connections，点击ok

选择设置，选择plugins

选择manage plugins

选择dns_spoof，出现*则可以

点击按钮进行攻击

攻击成功

可视化工具攻击后仍然可以访问百度，但是访问速度变慢3、

3、driftnet捕捉访问图片

在kali中敲入driftnet -ieth0

在windows中访问网站（需要http协议，https协议的无法获取）

在kali中可以看到网站包含的图片

四、防御

1、基本思路

由于arp欺骗是将arp装换表中IP地址对应的mac地址改变而攻击的，所以我们在防御的时候将arp表动态映射修改为静态映射就可达到实验目的。

2、步骤

查看windows中的网卡号

执行netsh i i show in命令

我们用到的是11号网卡

使用 网络适配器ID号(网卡号) 网关IP地址 网关Mac地址修改为静态arp绑定

查看arp转换表

在kali进行攻击

再次查看windows的arp转换表 ，并对百度执行ping操作

可以看到arp转换表没有变化，且可以正常ping通百度，防御成功。