您好，欢迎来到网络工程

据我了解，在 ARP 欺骗（任何类型）中，中间有一个人通过伪装成接收者（鲍勃）来拦截来自发送者（爱丽丝）的帧

第一步的“中间人”和“拦截”位并不完全正确。但是，成功的 ARP 欺骗攻击和一些源 IP 伪造可以将 ARP 欺骗者变成中间人。

不需要中间人方式拦截（和更改）ARP 数据包以进行 ARP 欺骗攻击 [1]。向刚刚尝试查找另一个系统的 MAC 地址（通常是默认网关）的客户端发送（突发）虚假 ARP 响应数据包（或免费 ARP）就足够了。如果成功，受害者将在其离开本地子网的帧中使用攻击者的 MAC 地址作为 DstMAC 地址。

在将这些帧发送回真正的默认网关时，通过添加一些 sourceNAT（使用其自己的或未使用的本地子网中的 IP 地址作为 srcIP），攻击者可以确保响应数据包也发送到他的主机。或者：通过向默认网关或路由器发送另一个假 ARP 突发，诱骗它接受受害者 IP 的错误 MAC 地址）。

由于现在两个方向的流量都被攻击者看到了，攻击者就变成了中间人，这就为各种邪恶的事情打开了道路，包括拦截和操纵上层流量。

在无线 LAN 中，只要接入点或 WLAN 控制器的设置允许给定 SSID 的客户端到客户端流量，就可以在不解密任何其他站点的无线流量的情况下实现这一点。

这正是在公共热点中阻止客户端到客户端流量的充分理由之一。

[评论后的插件1：]

但是攻击者可以读取帧的信息吗？

以上假设攻击者可以成功加入 Wifi SSID。Wifi基础架构模式中的任何客户端到客户端流量（与几乎再也见不到的ad hoc 模式相反）总是通过接入点发夹。

其中，成对会话密钥仅与 AP 和给定客户端（攻击者或受害者）相关；所以实际上，AP 对来自/发往受害者的帧（使用与每个受害者协商的密钥材料）和来自/发往攻击者的帧（使用与攻击者协商的密钥材料）进行解密/重新加密。

攻击者将看到来自受害者的帧，但使用 AP/攻击者的成对密钥加密 - 不需要额外的努力来解密它们。

如果以太网帧本身携带像 IPsec 或 TLS/SSL 之类的加密流量，则不同的故事 - 但这在堆栈中更进一步，超出了这个问题的范围。

[/插件 1]

[插件 2]

声称能够在 Wifi 网络中执行 ARP 欺骗 MitM 攻击的设备必须首先能够加入该 WiFi（通过合法方式或强制方式），并且它必须能够禁用/规避 SSID客户端隔离功能（如果积极的）。否则，几乎没有机会在 WiFi 网络中发挥积极作用。或者它可能连接在与该 Wifi SSID 桥接的 LAN 网段或 VLAN 上，但它只是 ARP 欺骗，就像在 LAN 中一样，没有特定于 WiFi 的。

[/插件 2]

[1] 当然，如果攻击者位于他的受害者之间的网络路径中（通常在终端系统和默认网关之间），也可以执行 ARP 欺骗。但在那种情况下，它不再感兴趣——两个方向的流量都流经攻击者的主机；数据包拦截和操作变得简单。