導(dǎo)讀

ARP欺騙（ARP spoofing），又稱ARP毒化（ARP poisoning，網(wǎng)絡(luò)上多譯為ARP病毒）或ARP攻擊，是針對以太網(wǎng)地址解析協(xié)議（ARP）的一種攻擊技術(shù)。這種攻擊通過欺騙局域網(wǎng)內(nèi)訪問者PC的網(wǎng)關(guān)MAC地址，使訪問者PC錯以為攻擊者更改后的MAC地址是網(wǎng)關(guān)的MAC，導(dǎo)致網(wǎng)絡(luò)不通。

01

ARP欺騙的運作原理 

ARP欺騙的運作原理是由攻擊者發(fā)送假的ARP數(shù)據(jù)包到網(wǎng)上，尤其是送到網(wǎng)關(guān)上。其目的是要讓送至特定的IP地址的流量被錯誤地送到攻擊者所取代的地方。攻擊者通過發(fā)送假的ARP數(shù)據(jù)包，可以篡改IP地址與MAC地址的映射關(guān)系，實現(xiàn)對被欺騙者的ARP欺騙。

02

ARP欺騙的運作原理分析及案例

ARP欺騙的運作原理主要涉及ARP協(xié)議的工作方式和網(wǎng)絡(luò)通信的基本原理。ARP（地址解析協(xié)議）是一個將32位的IP地址映射到MAC地址的協(xié)議。在局域網(wǎng)中，主機之間通信需要知道對方的MAC地址，而ARP協(xié)議就是用來完成這個映射過程的。

在正常的網(wǎng)絡(luò)通信中，當(dāng)一臺主機需要與另一臺主機通信時，它會首先檢查自己的ARP緩存表中是否有目標(biāo)主機的IP地址和MAC地址的映射關(guān)系。如果有，就直接使用這個MAC地址進行通信；如果沒有，它會發(fā)送一個ARP請求廣播，詢問局域網(wǎng)中誰擁有這個IP地址，并等待目標(biāo)主機的ARP響應(yīng)。目標(biāo)主機收到ARP請求后，會發(fā)送一個ARP響應(yīng)，包含自己的MAC地址，這樣源主機就可以將目標(biāo)主機的IP地址和MAC地址添加到自己的ARP緩存表中，并進行通信。

然而，在ARP欺騙攻擊中，攻擊者會偽造虛假的ARP響應(yīng)，將自己的MAC地址與目標(biāo)主機的IP地址進行映射，并發(fā)送給源主機。源主機收到這個偽造的ARP響應(yīng)后，會將其添加到自己的ARP緩存表中，導(dǎo)致后續(xù)的通信都會發(fā)送到攻擊者的主機上。這樣，攻擊者就可以竊取或篡改源主機與目標(biāo)主機之間的通信數(shù)據(jù)。

舉一個案例來說明ARP欺騙的過程：

假設(shè)局域網(wǎng)中有三臺主機A、B和C，其中A是網(wǎng)關(guān)，B是合法用戶，C是攻擊者。當(dāng)B需要與外部網(wǎng)絡(luò)進行通信時，它會發(fā)送一個ARP請求詢問網(wǎng)關(guān)A的MAC地址。正常情況下，網(wǎng)關(guān)A會發(fā)送一個包含自己MAC地址的ARP響應(yīng)給B。然而，攻擊者C可以偽造一個虛假的ARP響應(yīng)，將自己的MAC地址與網(wǎng)關(guān)A的IP地址進行映射，并發(fā)送給B。B收到這個偽造的ARP響應(yīng)后，會將其添加到自己的ARP緩存表中。此后，B發(fā)送給網(wǎng)關(guān)A的所有數(shù)據(jù)包都會被轉(zhuǎn)發(fā)到攻擊者C的主機上，而C則可以竊取或篡改這些數(shù)據(jù)包的內(nèi)容。

03

ARP欺騙的危害

1、可以通過ARP欺騙攻擊，竊取經(jīng)過網(wǎng)絡(luò)的敏感數(shù)據(jù)，如用戶名、密碼、銀行賬號等。這些數(shù)據(jù)一旦落入攻擊者手中，可能導(dǎo)致用戶隱私泄露、財產(chǎn)損失。

2、可以用于中間人攻擊。攻擊者可以攔截網(wǎng)絡(luò)通信數(shù)據(jù)，篡改數(shù)據(jù)內(nèi)容，甚至插入惡意代碼，對網(wǎng)絡(luò)進行操控。

3、利用ARP欺騙攻擊，將合法用戶的通信數(shù)據(jù)屏蔽或重定向到其他地方，從而造成網(wǎng)絡(luò)擁堵，甚至導(dǎo)致拒絕服務(wù)的情況發(fā)生。

4、ARP欺騙會使網(wǎng)絡(luò)出現(xiàn)異常，如掉線、IP沖突等。

5、訪問的網(wǎng)頁被添加了惡意內(nèi)容，俗稱“掛馬”。

6、網(wǎng)絡(luò)速度、網(wǎng)絡(luò)訪問行為（例如某些網(wǎng)頁打不開、某些網(wǎng)絡(luò)應(yīng)用程序用不了）受第三者非法控制。

04

ARP欺騙的防御措施主要包括以下幾個方面

1、把所有網(wǎng)卡的MAC地址記錄下來，每個MAC和IP、地理位置統(tǒng)統(tǒng)裝入數(shù)據(jù)庫，以便及時查詢備案。

2、在網(wǎng)關(guān)上建立DHCP服務(wù)器，給每個網(wǎng)卡綁定固定唯一IP地址。一定要保持網(wǎng)內(nèi)的機器IP/MAC一一對應(yīng)的關(guān)系。這樣客戶機雖然是DHCP取地址，但每次開機的IP地址都是一樣的。

3、網(wǎng)關(guān)上面使用TCPDUMP程序截取每個ARP程序包，弄一個腳本分析軟件分析這些ARP協(xié)議

。

4、在一些殺毒軟件中加入了ARP防火墻的功能，它是通過在終端電腦上對網(wǎng)關(guān)進行綁定，保證不受網(wǎng)絡(luò)中假網(wǎng)關(guān)的影響，從而保護自身數(shù)據(jù)不被竊取的措施。

5、過劃分VLAN和交換機端口綁定來防范ARP，也是常用的防范方法。做法是細致地劃分VLAN，減小廣播域的范圍，使ARP在小范圍內(nèi)起作 用，而不至于發(fā)生大面積影響。同時，一些網(wǎng)管交換機具有MAC地址學(xué)習(xí)的功能，學(xué)習(xí)完成后，再關(guān)閉這個功能，就可以把對應(yīng)的MAC和端口進行綁定，避免了病毒利用ARP攻擊篡改自身地址。