基于ARP欺骗的MITM协议在VirtualBox上使用桥接wifi网络适配器运行Kali Linux

Question

在家里，我有两台笔记本电脑(在Windows上运行)。用一台笔记本电脑(攻击笔记本电脑)，我试着进入到其他笔记本电脑(受害者笔记本电脑)的连接中间。

要做到这一点，请在攻击笔记本电脑上使用VirtualBox在虚拟环境中运行Kali。在VirtualBox中，我将内置wifi适配器连接到虚拟环境(我没有外部USB适配器)。

我使用以下命令：

echo 1 > /proc/sys/net/ipv4/ip_forward
arpspoof -i eth0 -t 192.168.1.63 -r 192.168.1.254    

执行上述命令后，我可以看到192.168.1.254 (路由器)的物理地址在受害者的笔记本电脑ARP表(使用arp -a)中发生了变化。

新的物理地址是攻击膝上型计算机主机操作系统的MAC地址(而不是Kali Linux使用的虚拟适配器的MAC地址)！

因此，受害者笔记本电脑开始向错误的MAC地址发送信息。看来Kali Linux没有收到任何感兴趣的数据，也不能转发数据。

因此，受害者膝上型计算机将失去其internet连接，而Kali Linux则应将受害者膝上型计算机的以太网通信转发到实际目的地。

1)为什么受害者笔记本的ARP表中的MAC地址变成了攻击笔记本的主机操作系统的MAC地址，而不是Kali Linux使用的虚拟适配器的MAC地址？我认为这与虚拟网络适配器与wifi适配器的构建有关。也许还有我不明白的关于贿赂的细节？

( 2)为了使这次攻击有效，我应该改变什么。

在Wireshak中，我可以捕获一些数据，但我无法从中获取任何信息。看起来Wireshark也在捕捉主机操作系统的流量。

谢谢您的澄清！

Answer 1

1)问题在于，在与VM通信时，确实使用了主机的MAC地址。这是VirtualBox在连接到无线网络适配器时所做的工作：

来自VirtualBox手册: 6.5。桥接网络

注意:到无线接口的桥接与有线接口的桥接不同，因为大多数无线适配器不支持混杂模式。所有通信量都必须使用主机的无线适配器的MAC地址，因此VirtualBox需要替换传出数据包的以太网报头中的源MAC地址，以确保应答将发送到主机接口。当VirtualBox看到目标IP地址属于虚拟机适配器之一的传入数据包时，它将以太网报头中的目标MAC地址替换为VM适配器的MAC地址并传递给它。VirtualBox检查ARP和DHCP数据包，以了解虚拟机的IP地址。

2a)作为解决方案，我使用有线网络适配器。我使用了一个由主机操作的外部USB适配器。我把它和VM连接起来了。我测试过这个，它确实有效。

2b)同样有效的是将字段“杂乱模式”设置为“允许所有”在VM的网络适配器设置的高级部分。然后，主机将将所有流量传递给虚拟适配器。我还没有测试过，但我希望它能起作用。

Answer 2

您还必须反向执行该命令：

arpspoof -i eth0 -t 192.168.1.63 -r 192.168.1.254
arpspoof -i eth0 -t 192.168.1.254 -r 192.168.1.63