作为学校项目的一部分,我正在尝试使用 ARP 中毒对我的本地网络进行 MITM 攻击。我选择一个目标,然后每 100 毫秒向它和路由器发送一个欺骗性 ARP 数据包。欺骗的 ARP 数据包是 ARP 响应,它应该让目标相信我是路由器,让路由器相信我是目标。这应该让路由器向我发送它想要发送给目标的任何东西,并让目标向我发送它想要发送给路由器的任何东西。
当我在我的学校网络上尝试它时,我没有遇到任何问题,并且一切正常。但是当我在我的家庭网络上尝试它时,它不起作用。当我检查原因时,我看到我所有的欺骗性 ARP 数据包都被发送了,但只有目标受到它们的影响并向我发送它的数据包。路由器继续将其数据包发送到目标,忽略我的欺骗性 ARP 数据包。
现在我的问题是,我的路由器是否有可能以某种方式检测到我的 ARP 欺骗攻击并忽略它?家用路由器能够忽略 ARP 欺骗攻击的可能性有多大?
是的。请参阅与同一主题相关的这个问题,但对您所质疑的功能感到困惑。 那可能吗?出厂带有arpspoof的路由器
对于最近的路由器,答案是肯定的,很可能,取决于路由器的配置。
有一个称为动态 ARP 检查 (DAI)的概念来防止 ARP 中毒。
通过 DAI,路由器形成一个IP 地址-MAC 地址-对应交换机端口/VLAN绑定表,称为DHCP Snooping 绑定表。当任何设备连接到网络并从 DHCP 服务器请求 IP 地址时,此表会自动更新。例如,如果您的设备从交换机端口x(您连接到路由器的二层端口)使用 IP 地址A连接到网络,并且您的设备具有 MAC 地址B;ABx的这种组合记录在路由器的 DHCP Snooping 绑定表中。
当您的设备向网络发送数据包时,路由器会检查其 DHCP Snooping 绑定表以验证绑定组合是否有效。这意味着当且仅当 IP 地址为A且 MAC 地址为B时,来自交换机端口x的数据包才被接受。
在 ARP 欺骗攻击的情况下,您从交换机端口 x 发送具有不同 IP/MAC 地址的数据包。由于 DHCP Snooping 绑定表中没有与此组合的绑定,因此您的数据包被路由器拒绝。因此,您不能执行 ARP 中毒攻击。
DAI 可以由网络管理员启用或禁用,但默认情况下它大部分是禁用的。