为什么ARP中毒会杀死所有的网络活动？

Question

使用ettercap和ARP中毒，我能够窃听其他连接，但突然之间我无法连接到互联网。为了恢复互联网连接，我不得不重新启动路由器。(我在3种不同的路由器上测试了这一点: sagem、linksys和华为。)

我是不是做错了什么，还是有安全机制杀死了所有的网络活动？

Answer 1

ARP欺骗通常是通过欺骗所有客户端以为您是路由器，伪造将IP地址转换为MAC地址的ARP响应来实现的。当客户端接收到ARP响应时，他们会记住与IP相关联的MAC。

一旦你停止了处理中间操作的应用程序，客户端就会继续发送到你的MAC地址，而不是路由器的地址。因为你不再处理这样的数据包，所以通信被黑了，整个网络就会崩溃。重置路由器使其发送ARP广播(例如：(“嗨，我是192.168.1.1 at 12:34:56:78:90:AB")以及一个DHCP广播，允许客户端与真正的路由器重新同步。

您的ARP中毒软件可能会在ARP广播关闭时发出一个带有路由器真实MAC地址的ARP广播，以防止出现这种情况。这可能是一个bug，或者只是还没有实现。

Answer 2

除了转发/路由点之外，如果您运行的是基于Linux的操作系统，则需要打开IP转发，否则内核将直接丢弃任何未附加到任何本地接口的IP地址的数据包。

您可以通过运行(以根用户身份)打开ip_forwarding；

echo "1" > /proc/sys/net/ipv4/ip_forward

同样地，再把它关掉；

echo "0" > /proc/sys/net/ipv4/ip_forward

这将立即生效，并且不需要重新启动。

Answer 3

如果你只有一个网络接口卡，你可能是黑了一切。您需要一个nic (或虚拟nic)连接到客户端，充当欺骗的路由器/交换机，并将流量转发到交换机。我知道ettercap可以处理MiTM的流量，但不记得它是否也为您的机器提供了互联网接入。

当你退出ettercap时，它应该通过向当前MiTM受害者发送正确的arp数据包来重新建立互联网连接，将您从中间删除，并重新建立他们的互联网连接。

确保当你MiTM的时候，你也不是在为自己准备路由器。