端口偷窃（Port Stealing）技术

 

该技术主要用于局域网中间人攻击中，尤其目标计算机采用静态ARP后，导致ARP欺骗无效。

 

背景知识：路由器为了方便转发数据包，会在内部记录每个接口和Mac地址的对应关系。例如，当计算机A通过网线向路由器发送了一个数据包，路由器会自动将该计算机Mac地址和网线所连接的接口B进行绑定。如果路由器收到要转发给A的数据包，就会将该包从接口B发出。A就可以顺利接受到数据包。这样，路由器就避免广播发包，同时其他计算机也无法获取A的数据包。

 

技术实现：其他电脑C可以伪造计算机A的Mac地址进行发包，让路由器进行错误的绑定。这样发给A的包，就被发给C了。接受到数据包后，C再发送一个请求A的ARP包，A响应后，路由器重新绑定正确的A。最后，C把数据包转发给A。

 

缺点：在ARP请求和恢复过程中，可能会造成C无法获取A的部分数据包。

 

Ettercap已经实现Por Stealing技术。