我们知道，在交换环境中，攻击者是无法直接监听到其他主机上网的数据包的，因为这些主机上网的数据包都是直接通过网关发送出去的。攻击者为了嗅探到其他主机的信息，可以借助ARP欺骗，让其他主机发送给网关的数据发送到攻击者的机器上，从而实现嗅探的目的。

（一）实验拓扑

在图2-75中，IP地址为10.3.40.59的机器模拟攻击者的计算机，并在该计算机上安装ARP欺骗工具SwithchSniffer，以实现对交换环境下的计算机10.3.40.5的ARP欺骗。

图2-75　ARP欺骗攻击实验示意图

（二）实验步骤

（1）在实施ARP欺骗之前，计算机10.3.40.5是可以正常上网的，而且通过“arp-a”命令可以查看到其本地的ARP缓存表，结果如图2-76所示。

图2-76　正常情况下计算机10.3.40.5的本地ARP缓存表

从图2-76可以看到，网关10.3.40.254的MAC地址为00-0F-E2-50-4B-A0。

（2）在攻击者计算机10.3.40.59安装ARP欺骗工具SwithchSniffer和抓包工具Iris（或者其他抓包工具，例如SnifferPro）。

（3）攻击者打开SwitchSniffer，实施ARP欺骗，步骤如下。(www.daowen.com)

①扫描网段内有哪些计算机。

②选中要欺骗的计算机（这里只选10.3.40.5）。

③单击【Start】按钮开始对选中的计算机进行ARP欺骗，如图2-77所示。

图2-77　实施ARP欺骗

（4）攻击者打开Iris进行嗅探，同时让被欺骗的计算机10.3.40.5再次上网（例如登录邮箱webmail.szpt.net，输入用户名和密码。这时，输入的用户名和密码是否正确都无所谓）。这时，黑客可以嗅探到被欺骗计算机的上网信息，如图2-78所示。

图2-78　实施ARP欺骗后的嗅探结果

（5）此时，再次查看被欺骗计算机的本地ARP缓存表，可以发现网关的MAC地址被欺骗成了攻击者的MAC地址，如图2-79所示，因此发给网关的数据包就发送给了攻击者的计算机。

该实验中，作为攻击者的计算机10.3.40.59通过欺骗交换环境下的计算机10.3.40.5，将10.3.40.5发送给网关10.3.40.254的信息发送给了10.3.40.59。同时，SwitchSniffer工具还将收到的这些数据转发给网关，让10.3.40.5登录邮箱的数据能发送出去。另外，10.3.40.59又通过欺骗网关10.3.40.254，让网关把要发送给10.3.40.5的数据发给10.3.40.59。然后，10.3.40.59再将数据转发给计算机10.3.40.5，实现双向的ARP欺骗。计算机10.3.40.5本应该直接和网关之间的数据传输过程，变成了通过攻击者计算机10.3.40.59转发了，而这样的通信数据流的改变对被欺骗计算机10.3.40.5是完全透明的，它完全感觉不到异常，还是能够正常完成登录邮箱等上网工作，但是正是由于这样的通信数据流的改变（数据流经过了攻击者的计算机），使得攻击者可以通过嗅探得到其他人的通信信息。这样的攻击，也称为“中间人攻击”。