導(dǎo)讀

ARP欺騙（ARP spoofing），又稱ARP毒化（ARP poisoning，網(wǎng)絡(luò)上多譯為ARP病毒）或ARP攻擊，是針對(duì)以太網(wǎng)地址解析協(xié)議（ARP）的一種攻擊技術(shù)。這種攻擊通過欺騙局域網(wǎng)內(nèi)訪問者PC的網(wǎng)關(guān)MAC地址，使訪問者PC錯(cuò)以為攻擊者更改后的MAC地址是網(wǎng)關(guān)的MAC，導(dǎo)致網(wǎng)絡(luò)不通。

01

ARP欺騙的運(yùn)作原理 

ARP欺騙的運(yùn)作原理是由攻擊者發(fā)送假的ARP數(shù)據(jù)包到網(wǎng)上，尤其是送到網(wǎng)關(guān)上。其目的是要讓送至特定的IP地址的流量被錯(cuò)誤地送到攻擊者所取代的地方。攻擊者通過發(fā)送假的ARP數(shù)據(jù)包，可以篡改IP地址與MAC地址的映射關(guān)系，實(shí)現(xiàn)對(duì)被欺騙者的ARP欺騙。

02

ARP欺騙的運(yùn)作原理分析及案例

ARP欺騙的運(yùn)作原理主要涉及ARP協(xié)議的工作方式和網(wǎng)絡(luò)通信的基本原理。ARP（地址解析協(xié)議）是一個(gè)將32位的IP地址映射到MAC地址的協(xié)議。在局域網(wǎng)中，主機(jī)之間通信需要知道對(duì)方的MAC地址，而ARP協(xié)議就是用來完成這個(gè)映射過程的。

在正常的網(wǎng)絡(luò)通信中，當(dāng)一臺(tái)主機(jī)需要與另一臺(tái)主機(jī)通信時(shí)，它會(huì)首先檢查自己的ARP緩存表中是否有目標(biāo)主機(jī)的IP地址和MAC地址的映射關(guān)系。如果有，就直接使用這個(gè)MAC地址進(jìn)行通信；如果沒有，它會(huì)發(fā)送一個(gè)ARP請(qǐng)求廣播，詢問局域網(wǎng)中誰擁有這個(gè)IP地址，并等待目標(biāo)主機(jī)的ARP響應(yīng)。目標(biāo)主機(jī)收到ARP請(qǐng)求后，會(huì)發(fā)送一個(gè)ARP響應(yīng)，包含自己的MAC地址，這樣源主機(jī)就可以將目標(biāo)主機(jī)的IP地址和MAC地址添加到自己的ARP緩存表中，并進(jìn)行通信。

然而，在ARP欺騙攻擊中，攻擊者會(huì)偽造虛假的ARP響應(yīng)，將自己的MAC地址與目標(biāo)主機(jī)的IP地址進(jìn)行映射，并發(fā)送給源主機(jī)。源主機(jī)收到這個(gè)偽造的ARP響應(yīng)后，會(huì)將其添加到自己的ARP緩存表中，導(dǎo)致后續(xù)的通信都會(huì)發(fā)送到攻擊者的主機(jī)上。這樣，攻擊者就可以竊取或篡改源主機(jī)與目標(biāo)主機(jī)之間的通信數(shù)據(jù)。

舉一個(gè)案例來說明ARP欺騙的過程：

假設(shè)局域網(wǎng)中有三臺(tái)主機(jī)A、B和C，其中A是網(wǎng)關(guān)，B是合法用戶，C是攻擊者。當(dāng)B需要與外部網(wǎng)絡(luò)進(jìn)行通信時(shí)，它會(huì)發(fā)送一個(gè)ARP請(qǐng)求詢問網(wǎng)關(guān)A的MAC地址。正常情況下，網(wǎng)關(guān)A會(huì)發(fā)送一個(gè)包含自己MAC地址的ARP響應(yīng)給B。然而，攻擊者C可以偽造一個(gè)虛假的ARP響應(yīng)，將自己的MAC地址與網(wǎng)關(guān)A的IP地址進(jìn)行映射，并發(fā)送給B。B收到這個(gè)偽造的ARP響應(yīng)后，會(huì)將其添加到自己的ARP緩存表中。此后，B發(fā)送給網(wǎng)關(guān)A的所有數(shù)據(jù)包都會(huì)被轉(zhuǎn)發(fā)到攻擊者C的主機(jī)上，而C則可以竊取或篡改這些數(shù)據(jù)包的內(nèi)容。

03

ARP欺騙的危害

1、可以通過ARP欺騙攻擊，竊取經(jīng)過網(wǎng)絡(luò)的敏感數(shù)據(jù)，如用戶名、密碼、銀行賬號(hào)等。這些數(shù)據(jù)一旦落入攻擊者手中，可能導(dǎo)致用戶隱私泄露、財(cái)產(chǎn)損失。

2、可以用于中間人攻擊。攻擊者可以攔截網(wǎng)絡(luò)通信數(shù)據(jù)，篡改數(shù)據(jù)內(nèi)容，甚至插入惡意代碼，對(duì)網(wǎng)絡(luò)進(jìn)行操控。

3、利用ARP欺騙攻擊，將合法用戶的通信數(shù)據(jù)屏蔽或重定向到其他地方，從而造成網(wǎng)絡(luò)擁堵，甚至導(dǎo)致拒絕服務(wù)的情況發(fā)生。

4、ARP欺騙會(huì)使網(wǎng)絡(luò)出現(xiàn)異常，如掉線、IP沖突等。

5、訪問的網(wǎng)頁被添加了惡意內(nèi)容，俗稱“掛馬”。

6、網(wǎng)絡(luò)速度、網(wǎng)絡(luò)訪問行為（例如某些網(wǎng)頁打不開、某些網(wǎng)絡(luò)應(yīng)用程序用不了）受第三者非法控制。

04

ARP欺騙的防御措施主要包括以下幾個(gè)方面

1、把所有網(wǎng)卡的MAC地址記錄下來，每個(gè)MAC和IP、地理位置統(tǒng)統(tǒng)裝入數(shù)據(jù)庫，以便及時(shí)查詢備案。

2、在網(wǎng)關(guān)上建立DHCP服務(wù)器，給每個(gè)網(wǎng)卡綁定固定唯一IP地址。一定要保持網(wǎng)內(nèi)的機(jī)器IP/MAC一一對(duì)應(yīng)的關(guān)系。這樣客戶機(jī)雖然是DHCP取地址，但每次開機(jī)的IP地址都是一樣的。

3、網(wǎng)關(guān)上面使用TCPDUMP程序截取每個(gè)ARP程序包，弄一個(gè)腳本分析軟件分析這些ARP協(xié)議

。

4、在一些殺毒軟件中加入了ARP防火墻的功能，它是通過在終端電腦上對(duì)網(wǎng)關(guān)進(jìn)行綁定，保證不受網(wǎng)絡(luò)中假網(wǎng)關(guān)的影響，從而保護(hù)自身數(shù)據(jù)不被竊取的措施。

5、過劃分VLAN和交換機(jī)端口綁定來防范ARP，也是常用的防范方法。做法是細(xì)致地劃分VLAN，減小廣播域的范圍，使ARP在小范圍內(nèi)起作 用，而不至于發(fā)生大面積影響。同時(shí)，一些網(wǎng)管交換機(jī)具有MAC地址學(xué)習(xí)的功能，學(xué)習(xí)完成后，再關(guān)閉這個(gè)功能，就可以把對(duì)應(yīng)的MAC和端口進(jìn)行綁定，避免了病毒利用ARP攻擊篡改自身地址。