ARP原理和偽造攻擊介紹

ARP協議：

ARP（英文全寫：Address Resolution Protocol），翻譯成中文的意思是“地址解析協議”。

在局域網中，網絡以“幀”的形式傳輸數據，一個主機要和另一個主機進行直接通信，就必須要知道目標主機的MAC地址。顯然，在雙方通信之初，發送方是無法知道目標主機的MAC地址的。那么，目標主機的MAC地址，它就是通過“地址解析協議”獲得的。

所謂的“地址解析”就是主機在發送“幀”之前，將目標主機的“IP地址”轉換成目標主機的“MAC地址”的過程。ARP協議的基本功能就是通過目標設備的IP地址，查詢目標設備的MAC地址，以保證通信的順利進行。

所以說從某種意義上講ARP協議是工作在更低于IP協議的協議層。這也是為什么ARP欺騙更能夠讓人在神不知鬼不覺的情況下出現網絡故障，危害會很隱蔽。

ARP欺騙原理：

ARP攻擊就是通過偽造IP地址和MAC地址實現ARP欺騙，能夠在網絡中產生大量的ARP通信量，攻擊者只要持續不斷的發出偽造的ARP響應包就能更改目標主機ARP緩存中的IP-MAC條目，造成網絡中斷或中間人攻擊。

當局域網中一臺機器，反復向其他機器，特別是向網關，發送這樣無效假冒的ARP應答信息包時，嚴重的網絡堵塞就會開始。由于網關MAC地址錯誤，所以從網絡中計算機發來的數據無法正常發到網關，自然無法正常上網。這就造成了無法訪問外網的問題，由于很多時候網關還控制著我們的局域網LAN上網，所以這時我們的LAN訪問也就出現問題了。

再通俗點的說，只要兩臺or多臺主機在同一局域網，并且能ping通的情況下，使用arp -a 就能獲取到你的mac地址，進而去通過arp欺騙進行偽造攻擊

ARP欺騙—偽造網關

攻擊者B偽造ARP報文（senderIP地址是網關的，senderMAC地址不是網關的），發送給網段內的主機A，那么主機A就會把網關的ip地址和偽造的mac地址緩存到arp緩存表內，導致主機A無法把要發給網關的消息送達網關，致使主機A無法正常訪問外網

ARP欺騙網關

攻擊者B偽造ARP報文（senderIP地址是主機A的，senderMAC地址不是主機A的），發送給網關，網關就把主機A的ip地址和偽造的mac地址緩存到網關arp緩存表內，導致網關無法給主機A發送消息，致使主機A無法正常訪問外網

ARP欺騙其他主機

攻擊者B偽造ARP報文（senderIP地址是主機C的，senderMAC地址不是主機C的），發送給主機A，主機A就把主機C的ip地址和偽造的mac地址緩存到主機A的arp緩存表內，導致主機A無法給主機C發送消息

ARP泛洪攻擊

攻擊者偽造大量不同ARP報文在同網段內進行廣播，導致網關ARP表項被占滿，合法用戶的ARP表項無法正常學習，導致合法用戶無法正常訪問外網（也可以泛洪攻擊其他主機）

ARP偽造攻擊測試

注：此處我采用的是虛擬局域網，以win10為攻方，win7以及linux為被動方，自行測試時保證在同一局域網，能ping通，可獲取到mac即可

測試環境：

1.同一局域網=同一網段
2.win10 ×1，win7×1，linux(centos7) ×1
3.科來網絡分析系統(https://www.colasoft.com.cn/download/download-csnas.php)

測試流程：

1.獲取mac地址：
通過ping對方主機ip，或者域名，若能通則可以獲取mac地址，在cmd界面，用arp -a 獲取該網段的ip以及mac。如果是所有主機，則mac就寫全f

1.打開科來，選中網卡，點擊數據包，先過濾，找到回復包，在找網關地址的那條數據包
2.右鍵–發送數據包到數據包生成器

3.看清圖中要修改的部分，以及修改的目的

4.填寫發送信息，選擇網卡，然后設置發送頻率

點開始讓他！！！
跑起來！！！

測試結果我就以ping包為例了，具體實操請自行在瀏覽器查看。

可以看到上圖的ping包丟包率是58%，中途我關掉，又重新ping了兩次，才恢復正常。

測試結束！！

如何進行防御

1.ARP 高速緩存超時設置

在ARP高速緩存中的表項一般都要設置超時值，縮短這個這個超時值能夠有用的避免ARP表的溢出。

2.靜態ARP緩存表

每臺主機都有一個暫時寄存IP-MAC的對應表ARP攻擊就經過更改這個緩存來到達詐騙的意圖，運用靜態的ARP來綁定正確的MAC是一個有用的辦法，在命令行下運用arp -a能夠檢查當時的ARP緩存表。

3.自動查詢

在某個正常的時間，做一個IP和MAC對應的數據庫，以后定時檢查當時的IP和MAC對應聯系是否正常，定時檢查交流機的流量列表，檢查丟包率。

4.下載防御arp攻擊的小插件

1.360當中是有這么一個功能的，如果有這種arp欺騙他會第一時間攔截，并提示告警，還是挺智能化的，有興趣的小伙伴可以去下載測試。

2.同時360一旦發現有arp欺騙攻擊的操作，也是有追蹤ip的功能，只要把源地址和mac改了，就是追蹤不到的，這就是為什么上述在數據包中要最好就修改的原因

總結

以上是生活随笔為你收集整理的ARP伪造使用抓包工具进行ARP欺骗arp伪造攻击的全部內容，希望文章能夠幫你解決所遇到的問題。

如果覺得生活随笔網站內容還不錯，歡迎將生活随笔推薦給好友。