arp欺骗超详细过程

（一）ARP工作原理、ARP攻击分析叙述：

随着网络设备在接入市场的应用也越来越多；同时遇到的问题也越来越多样，其中最让人头疼的就是ARP 的问题。

众所周知，ARP的基本功能就是在以太网环境中，通过目标设备的IP地址，查询目标设备的MAC地址，以保证通信的顺利进行。但由于ARP的广播、动态学习等特性注定了它不是一种安全的协议，所以在实际应用中，会由于各种各样的原因使ARP学习失败，从而影响网络的互通性，并进而影响用户的业务稳定运行。由于ARP处于数据链路层，处于整个OSI开放式七层模型的倒数第二层，所以除了HUB等极少数的、几乎所有跟以太网接口有关的设备，都涉及到ARP处理的问题。如果ARP问题处理不好，带来的影响也是非常巨大的。

在整个internet网络体系中，网络设备主要分为两类：一类就是安装有各种操作系统平台的PC、服务器等host；而另外一类就是负责网络互联的路由器、交换机、防火墙等数据通讯设备。这些设备由于自身所处的网络位置的不同、安全稳定程度的不同、服务的不同，在ARP机制的处理上也不尽相同，当然本文不是要全面阐述ARP的原理和实现，只是希望能够说明并解决或规避在我们的应用环境中出现的问题――我们考虑的范围是Win2K/XP主机和路由器、交换机。

1 ARP基础知识

一般的，正常的ARP过程只需ARP Request和ARP Response两个过程，简单的说就是一问一答，如下：

这记录了局域网内一台IP为192.168.19.180的PC与网关设备（IP为192.168.1.6）之间的ARP交互，该PC发送请求之后，在0.000434秒之后，网关设备做出了回应，此时路由器就学习到了对方的ARP信息：如下：

我们关注的是ARP的过程，而不是结果；来看一下ARP Request：

从[Ethernet Header]可以看出，ARP请求的目标地址是全F，也就是广播地址；因为在请求之前，本PC 不知道对方的MAC地址，为了确保ARP Request能够让对方收到，以广播形式方式是很自然的选择。在[ARP]

中可以看到，发送的源IP和源MAC都是本PC的网卡设置值，这是已知参数；目的IP地址是我要请求的地址，而目的MAC地址是全0，用于表示本PC不知道该参数，暂时忽略/ignore。

网关设备在收到ARP Request之后，会首先读取Sender的IP和MAC地址，并在存入自己的缓冲中，以备后用。因为ARP请求毕竟是广播性质的，如果每次通讯都要完成一个ARP的流程，对于以太网的压力是非常巨大的，为了尽可能减少这种广播的负面影响，这里引入了缓冲机制，这就是ARP Table。

ARP Response又是怎样回应的呢？

先看[Ethernet Header]，可以看到以太网目的MAC地址为PC的MAC地址，因为网关设备只要把回应的信息发送给请求者即可，局域网内的其他主机是没有必要同步知道的，这很好理解。在[ARP]中，网关设备把自己的MAC地址填充在ARP Response中，发送给原请求者。

当然收到ARP Response之后也会把这个ARP信息缓存下来，这样一个ARP的过程就完成了。从中可以看出，无论是哪方先发起ARP Request，最终双方都会得到对方的MAC地址信息的。这也是处于减少网络上不必要流量的考虑。

2 免费ARP

整个ARP的体系里基本上就是由ARP Request和Response组成的，从上面的描述中，可以看出Request就是告知对方“我要什么”，而Response是回答“我是什么”。但有些时候也会例外，他们虽然从形式上还是Request和Response的，但它们通常不会不是一问一答的，而是只有其中的一部分，所以通常被称为免费ARP或无为ARP（Gratuitous ARP）。

从作用而言，它们主要是可以分为两类：

1、以ARP Request的形式发送广播，请求自己的MAC地址，目的是探测局域网中是否有跟自己IP地址相同的主机，也就是常说的IP冲突，如下：

正常情况下，这样的报文是不会有回复的，如果有，则说明有冲突发生。

2、以ARP Response的形式发送广播，它通常只是为了把自己的ARP信息通告/更新给局域网全体，这种Response不需要别人请求，是自己主动发送的通告。报文结构如下。

这两种ARP帧虽然都是广播发送的，但目的不同，从帧结构上来说，前者注重的是Target Internet Address，而后者注重的是Sender Hardware Address和Sender Inteernet Address。

RG NBR系列路由器就采用上述第二种方式来发布自己的免费ARP，来防止网内PC机被其它中毒机器恶意修改其ARP Cache中保存的网关正确MAC地址信息；

3 触发ARP动作的事件

当然，如果windows的应用需要通过IP与别的IP地址进行通讯，而且本机ARP Table中没有对方的相应cache时，就会触发ARP自动学习。

另外，通过实验观察，我们发现Wind2K/XP在设置/修改IP、网卡禁用/启用、网线拔插、系统重启的时候，都会连续发送三次免费ARP Request，目的显然是为了判断网络上是否存在IP地址冲突。

对于RG Routers和Layer 3 Switch来说，如果存在上层IP通讯，那么自然需要触发ARP学习过程，这一点跟windows是完全相同的。

在以太网端口设置/修改IP时，路由器、Layer3 Switch会自动发送免费ARP Request报文来探测是否有IP冲突；而在端口shut/no shut、端口线缆拔插、系统重启的时候，路由器又会自动发送免费ARP Response 报文，用以把自己的ARP信息通告全体主机。

同时，无论是那种免费ARP，路由器、Layer 3 Switch都只发送一次。

很显然，windows的ARP触发事件跟路由器、Layer 3 Switch是有差别的：

1、Windows/PC作为网络上的一个主机，它可能只是跟少数的几个PC进行信息交互，所以它在非必要情况下不（通过免费ARP Response）把自己的ARP信息广播给所有主机是合理、也是明智的。路由器、Layer 3 Switch虽然不直接参与应用层的处理，但它通常是一个局域网的网关，肩负则所有主机的数据转发任务，也就是说几乎所有的主机跟路由器、Layer 3 Switch之间都会存在ARP交互，与其被动的响应ARP请求，还不如主动的把自己的ARP信息广播给所有主机，这对于降低路由器、Layer 3 Switch的工作负荷、减少网络带宽占用都是有好处的。

2、从免费ARP报文的发送数量来看，Windows发送的免费ARP都是3次，这有利于确保对方成功收到，同时也有利于减少其他主机的免费ARP干扰；而RG路由器、Layer 3 Switch仅仅发送一次，而且任何情况都不再重复，这显然是不够的。

4 异常情况下的ARP处理机制

常见的局域网异常状况有：IP地址冲突、MAC地址冒用、ARP欺骗等，极端情况下还可能IP+MAC同时冒用，下面我们就来具体分析。

4.1 IP地址冲突

1、网关Router设置IP成某PC的地址

有些时候，如用户网络使用windows做代理（NAT），现在要用一个路由器、Layer 3Switch（IP地址与网关windows相同）来替换当网关；当两者共存时，就会出现Windows IP地址与路由器、Layer 3 Switch 冲突的情况。当然还有其他的可能性。

这里，如果路由器、Layer 3 Switch是调试完之后接入局域网的，按照前面的描述，RG路由器、Layer 3 Switch 直接发送1个免费ARP Response，这样就强制局域网内的PC学习到路由器、Layer 3 Switch SVI接口的ARP信息，此时原有Windows网关没有任何响应，工作也正常；但此时局域网内的PC关于网关IP的ARP

内容却发生了改变，路由器、Layer 3 Switch的SVI接口成为了实际意义上的网关。

如果路由器、Layer 3 Switch是接入局域网之后才开始配置和调试的，那么路由器、Layer3 Switch SVI 接口设置IP之后会先发送1个免费ARP Request报文，探测有无地址冲突，如果有，则强制发送免费ARP Response；此时Windows主机提示地址冲突，网卡变为不可用状态，而路由器、Layer 3 Switch SVI接口则成为了实际的网关。

2、Windows设置IP成网关路由器、Layer 3 Switch SVI的IP地址

在网吧、企业网环境中，上点后，路由器工作正常，局域网中的PC学习到的网关ARP信息就是路由器、Layer 3 Switch对应端口的IP和MAC；假设此时内网中有一个Windows PC修改自己的IP地址，不慎和网关IP 冲突，会发生什么呢？

从这个抓包情况看，PC修改IP之后，发送免费ARP Request，看是否有地址冲突，这显然是有的，从第二个包就可以看出来，RG Router、Layer 3 Switch SVI回复了一个ARP Response；此时PC桌面上提示IP 地址冲突，网卡处于不正常工作状态，用户一般会修改IP地址再次尝试；

而紧随其后的是，路由器、Layer 3 Switch发送了1个免费ARP Request包，用来判断冲突是否继续存在？当然由于Windows对于网卡的管理，导致冲突自动消失，路由器、Layer 3 Switch也就不再有后续动作了。但如果此时冲突继续存在呢？从上面的实验来看，路由器、Layer 3 Switch会强制发送1次免费ARP Response，用以让局域网的主机确认，我才是真正的网关。

显然，应付普通的非恶意的IP地址冲突，路由器、Layer 3 Switch现行的机制应足够了。

4.2 MAC地址冒用

不管是处于什么目的，用户可能通过某种手段重新烧录自己网卡的MAC地址，如果这个地址正好和路由器、Layer 3 Switch的网关IP相同，会出现什么情况呢？

由于条件的限制，这个实验没有做成，但我们可以分析一下：

根据前面的分析，网络设备是通过发送免费ARP Request报文，查询自己IP的对应MAC地址来确认是否存在冲突的，在单纯的MAC地址冒用的情况下，上述机制是探测不到任何异常的。

但是当两个设备的MAC地址相同时，最直接的影响就是局域网交换机（通常为二层）的MAC Table中，有两个端口学习到的MAC地址是完全相同的，这有点类似环路发生的现象；但这确实不是环路，因为交换机生成树的BPDU报文不可能从其中的一个端口发出，从另外一个端口收到，所以STP是探测不出什么的，也就是说这两个端口还是会正常工作的。

此时交换机会做的就是，把发往该MAC地址的以太网帧同时发送到两个端口上，以求尽可能的数据丢失；这看起来有点象“端口镜像”。

看来，单纯的MAC地址冒用/冲突是不会到路由器、Layer 3 Switch造成什么直接的影响的，不过它会把所有经过网关路由器的流量复制一份到某个特定的端口，如果这个端口连接的某个主机别有所图的话，后果还是很严重的。不过这属于信息安全的范围了，这里不再详细讨论。

4.3 ARP欺骗

ARP自动学习的目的，就是通讯的双方主机互相请求/告知MAC地址，并以此完成二层的以太网帧交换，由于通讯的双向性，很显然如果任何一方的ARP信息是空或者错误的，那么通讯就会失败。而ARP欺骗的目的就是频繁的发送错误消息欺骗网络通信的任何一方，最终导致不能正常通信。

那么怎样防止ARP欺骗呢？从根本上说就是双方的IP-MAC地址对应信息要正确，之前我们说过，ARP是自动学习的，是通过ARP Request和Response报文的交互，由别人告知的，正是这个特性让ARP欺骗有了可乘之机，显然最有效的方法就是不采用“学习”机制，现在很多设备厂商都是这么实现的，但配置静态ARP 工作量非常大，后期维护也极不方便，假设局域网内主机数量为N，那么最少要配置的ARP条目有

N+(N-1)=2N-1个；如果N=200，也就是说最后总共要配置400条，这还不算原始IP、MAC地址信息的收集、校对和维护工作。如果要全网ARP绑定的话，总条目可达N(N-1)，那就更惊人了。

是否可以避开静态ARP绑定这种烦琐的方式呢？对Windows主机是没有办法的；但我们可以从路由器、Layer 3 Switch上着手，要回答这个问题，首先要弄清ARP欺骗的具体过程，先看实验拓扑结构：

由于很难找到合适的病毒重现真正的ARP欺骗，我们采用安装聚生网管（也叫Netsense、P2P终结者）来模拟，其实现的基础就是进行ARP欺骗。

在这个环境中，使用路由器作为网关，进行NAT操作，内网中连接两个PC，其中一台安装聚生网管，进行ARP欺骗。开始时，PC的ARP表中192.168.1.6对应的MAC地址是正确的，然后启动聚生网管，来看看现象：

1、第一阶段，ARP Cheater会发送大量ARP Request来逐个扫描内网中的PC：

正常情况下局域网PC会回应ARP Request，ARP Cheater就是靠这个来确认并收集内网中已经启动的PC的，并在本地形成一个数据库。

2、第二阶段，Cheater就开始进行实质的欺骗了，其过程为就是向真实网关和PC同时发送免费ARP Response，强行更新其ARP Table。

其中，发送给PC的为：

显然，Cheater强行通告给PC的ARP内容是错误的，因为00-0D-60-8C-0D-C9和192.168.1.6分别是Cheater 的MAC地址和路由器的网关IP。

其次，发给网关路由器的为：

在这个信息中，00-00-E2-58-AC-EA和192.168.1.158都是对应的普通PC，是一个正确的信息，Cheater

代替PC向网关发送ARP强制更新信息，是为了确保通讯能够正常完成。

欺骗完成之后，局域网中的所有PC都根据错误的ARP信息把数据包发给ARP Cheater，Cheater再通过路

由器转发到公网真正的服务器上；当数据包从公网返回到路由器之后，路由器会把数据包直接返回到PC，中间不再经过ARP Cheater（如果需要，也可以经过ARP Cheater），参阅前面的拓扑结构图。

这样，ARP欺骗就完成了，PC上面关于网关的ARP信息发生了改变；不过为了“巩固”成果，聚生网管每隔2秒再次进行欺骗。

当然，聚生网管不算是一种病毒、木马或者恶意程序，只是它利用了ARP欺骗，把所有的局域网所有的主机流量都导入的自己的网卡上，籍此，聚生网管就可以进行相应的过滤和限制了。

现在比较流行的窃取密码的木马程序就是按照这个原理来实现的，当然密码只是在用户登陆的时候才输入的，所以木马程序会故意让自己的网卡失效又立刻恢复，此时，内网的用户以为是网络质量不好掉线，接着就是重新登陆、输入密码……

上面两种情况虽然是ARP欺骗，但多数时间网络还是正常运行的；如果只是要让网络中断，那么ARP Cheater 只需频繁发送免费ARP Response即可，当然里面包含的Sender Address是错误的。

4.4 如何应对ARP欺骗？

前面提到，ARP欺骗可能会欺骗网关路由器或者内网的PC，下面我们就分这两种情况来分析一下。

4.4.1 避免ARP欺骗PC

要找到应对方法，必须先识别出ARP欺骗的特点：

1、ARP欺骗发生时

无论出于什么目的， ARP欺骗最开始、也是最关键的一步就是通过免费ARP Response信息，发送错误的网关ARP信息给局域网主机，其方法不外乎两种：

n 在本网段首先发送大量的ARP Request扫描，通过Response报文收集当前活动的主机，随后给每个主机发送免费的ARP Response；在这种情况下，路由器只能看到从一个固定的MAC地址发出大量ARP请求广播，而且这个过程可能会周期性重复。

n 第二，ARP Cheater不需要逐个找局域网的主机IP，它直接冒充网关，通过免费ARP Response广播通告全网；在这种情况下，路由器上应该可以观察到免费ARP Response报文，其Sender Internet Addr信息就是自己的IP地址，而且从上面的实验中可以看到，这种免费ARP Response广播报文是非常频繁的。

无论是那种情况，其目的都是欺骗PC，路由器虽然可能通过某些特征判断ARP欺骗的发生，但是根本无法制止，因为路由器对该PC是没有控制权的。

2、ARP欺骗发生后

ARP欺骗发生后的情况是怎样呢？当然是PC的ARP表被篡改了，当然我们可以通过手工方式来清除ARP表项重新学习，但ARP欺骗是不断的重复进行的，人工维护的工作量恐怕远远大于前面说的“静态ARP”，显然可行性为零。

既然手工方式不行，那么自动方式怎么样呢？跟ARP Cheater一样，我们可以考虑让网关路由器或者其他专用主机来发送免费ARP广播，把正确的网关ARP信息通报给全网。如果网内的ARP欺骗不是很频繁，这种是方法可行；但如果象聚生网管这样的情况，ARP欺骗为每2秒一次，要让PC的ARP表正确，路由器或专用主机发送的免费ARP Response广播必须更频繁，即便如此，内网PC的ARP表可能还会处于频繁变动的过程中，导致其正常通讯也会随之而产生丢包情况，同时整个网络上会因此而充满大量的以太网广播，我想这事谁也不愿看到的。RG Router的内网口上 arp gratuitous interval xx 的配置实际上就是定期向网内发送 arp Response；

综上，可以得出结论，对于内网主机的ARP欺骗，作为路由器本身基本上是无能为力的，至少效果非常有限。所以在对付ARP欺骗的时候，PC还是乖乖的进行静态ARP绑定措施。比如在PC机上配置autoexec.bat 批处理文件：

@echo off

Arp –d

Arp –s 192.168.1.1 00-d0-0f-23-44-89

使得在PC机上能够静态绑定网关的正确MAC地址，防止网关欺骗；

在RG 2126G交换机上可以采用在端口下，anti-arp-spoofing ip xxx.xxx.xxx.xxx

xxx.xxx.xxx.xxx是网关地址；RG 2126G将阻止源IP是本网段网关地址的报文从这个端口进入；达到防止该端口上连接的PC发出对其它PC进行网关欺骗的ARP Response、ARP Request报文；

4.4.2 避免ARP欺骗路由器

跟PC的情况不同，由于路由器、Layer 3 Switch是一款三层设备，几乎没有什么上层应用会跟内网主机直接通讯，所以它的ARP表项通常不是主动请求获得的，而是被动学习到的，比如收到ARP Request或者免费的ARP Response前者是正常情况，不在我们讨论范围之内；而后者就是ARP Cheater欺骗网关路由器的手段。

还是分为两个阶段来分析：

1、ARP欺骗发生时

通常情况下下，ARP Cheater是通过单播性质的免费ARP Response把错误的主机ARP信息强制通告路由器、Layer 3 Switch的，而且由于内网的主机数量众多，路由器、Layer 3 Switch每次会收到大量的免费ARP Response单播报文。它们的Sender Internet Addr分别是局域网的主机IP地址，但是Sender Hardware Addr 却都是ARP Cheater的网卡MAC地址。

显然，路由器、Layer 3 Switch完全可以通过免费ARP Response报文的特征来确定欺骗是否发生，但当确定的同时，ARP欺骗的结果是已经造成了的。

2、ARP欺骗发生后

由于路由器、Layer 3 Switch的ARP表项是被动学习的，所以在ARP欺骗发生之后，路由器、Layer 3 Switch 必须自己主动的去查询正确的ARP信息，方法恐怕只有一种：就是根据现有ARP表项中的IP地址列表，强制性的逐一发送ARP Request，通过对方的Response信息来更新校正自己的ARP Table。显然这个工作量是很大的。尤其是在ARP Cheater的欺骗非常频繁的时候，路由器、Layer 3 Switch的ARP“自我校正”机制显得太苍白无力了。

4.5 应对ARP欺骗的其他方法

从前面的分析来看，单纯的通过ARP机制本身来防止ARP欺骗，几乎是不可能完成的任务。那么还有什么方法来避免呢？

4.5.1 硬件角度

路由器毕竟是一种三层设备，对于ARP二层协议的支持和处理总是有限的；我们是否可以从局域网交换机来入手呢？

因为ARP发生之后的结果（错误的ARP信息）是存储在网关路由器和主机中的，跟交换机没有任何关系，所以要通过交换机来处理，重点就是一个字：“防”。从前面的分析来看，无论怎样欺骗，其关键的特征就是发送免费ARP Response报文，而且ARP字段的Sender信息与其自身MAC地址不相符合，如果二层以太网交换机能够进行ARP报文合法性的判断，那么就自然可以进行相应的屏蔽了；

这个技术看起来不是很难事先，但涉及到交换机ASIC芯片的支持和软件功能的增加，其可行性和性价比还需要考证；同时需要把宽带路由器和交换机作为一个整体推给使用者。现在锐利网络在网吧等宽带市场中的路由交换一体化解决方案就是基于这个原理的。

这种思路应该可以从源头上解决ARP欺骗的发生，但对于交换机的要求比较高，不仅是功能方面，还同时涉及到性能、稳定性和性价比等特性。

在RG 27、29系列交换机上就是从硬件架构上进行设计，使得交换机能够根据报文类型，比如对报文类型Type是0X0806的ARP报文会检查其Source IP和Source MAC，根据在该端口上绑定的IP地址与相应的MAC地址来将攻击者的欺骗性ARP Response过滤掉，从而达到从根源上防止了ARP Attacking的实现；4.5.2 软件角度

单纯的利用ARP特性是解决不了ARP欺骗的问题的，那么在软件上还有什么出路呢？方法还是有的，可以看一下艾泰的解决方案：

既然ARP欺骗最终影响的是ARP表项的内容，而表中的内容又是动态学习的，所以ARP机制才不安全，那么我为何不摒弃ARP自动学习这种机制呢？当然我们说的不是进行手工静态ARP绑定。其具体处理方法是把ARP表项的相关信息放到NAT的表项中一起处理。

原来NAT表项中的主要内容有：NAT转换前源IP地址、转换前源TCP/UDP端口、转换后源IP地址、转换后TCP/UDP端口、目的IP地址、目的端口等6项信息，而转换前IP地址和MAC地址的对应关系是靠ARP 的动态学习机制来实现的。

现在，NAT表项的内容调整为：NAT转换前源IP地址、转换前源MAC地址、转换前源TCP/UDP端口、转换后源IP地址、转换后TCP/UDP端口、目的IP地址、目的端口等7项信息。这个新增加的源MAC地址可以不作为NAT判断的依据，其作用是让数据包从公网一侧回到路由器，经过NAT转换之后，能够送回到正确的PC主机。

那么如何才能保证PC主机的数据包不受ARP欺骗的影响，正确的送到路由器呢？很简单，进行手工的静态ARP绑定。前面分析过，对于ARP欺骗PC主机的情况，路由器是无能为力的。

这样，PC可以根据静态（正确）的ARP信息把数据包发到网关路由器，路由器在记录必要的信息转存为NAT cache的时候，把该以太网帧的源MAC地址也异同记录，写到NAT cache中，作为数据包返回时的参考。这种方式的优点是不用一来交换机，避免ARP的欺骗，但PC主机还是需要进行手工的ARP绑定。可以说这是“硬件角度”的一种折中方案。其缺点是NAT存储和判断的因素较多，必然影响性能；而且这种机制只能避免PC和路由器之间的通信免受ARP欺骗的干扰，对于PC与PC之间的通讯则无能为力了。

4.5.3 消极角度

什么是消极角度？简单的说就是没有办法了，我不用ARP了，那么在以太网中怎么通讯？PPPoE！在理论上，这的确可以完全规避ARP的问题，但在实际应用的时候，需要让路由器来充当PPPoE服务器，这样所有局域网通讯的流量都要经过路由器进行三层转发。对于路由器的处理压力可想而知――不过确实有这种网络的实际案例，比如ISP的运维办公网，但他们使用PPPoE的目的更重要的是为了网络信息安全和管理。4.6 建议

对于ARP欺骗，仅仅从ARP本身恐怕是没有什么好的解决方案的，要解决或避免ARP欺骗的问题，需要动一番手术的。

而对于普通的ARP冲突，我到时觉得还可以加强一下：

u 路由器、Layer 3 Switch在确认网络中有IP冲突后，会立刻发送1个免费ARP Request，用以确定冲突已经消失，如果冲突继续存在，则强制发送1个免费ARP Response。

ü是否可以考虑延时一个时间段再发送免费ARP Request？用以避免Windows主机没有及时处理处于“非正常”状态的情况；

ü其次，如果冲突继续存在，发送1次ARP Response；更合理的应该是重复进行免费ARP Request探测，冲突存在则强制进行免费ARP Response通报，直到冲突消失。

4.7 总结

在主要的两类ARP问题中，一般的非恶意地址冲突不会对路由器、Layer 3 Switch造成实质性的影响。而对于各种目的的ARP欺骗机制，无论是从预防还是后期干预上，路由器都没有直接有效的手段？

虽然现在可以使用双向的静态ARP来避免ARP欺骗带来的影响，但就实施和后期的维护来看，都非常的不方便，而且也未尝容易出错。

比较好的出路在于从硬件结构上对交换机进行改良，实现成本与功能的平衡，才是防止ARP问题的根本之路。

实验二 ARP欺骗实验

实验二ARP欺骗实验 【实验目的】 加深对ARP高速缓存的理解 了解ARP欺骗在网络攻击中的应用 【实验原理】 ARP欺骗是黑客常用的攻击手段之一，ARP欺骗分为二种，一种是对路由器ARP表的欺骗；另一种是对内网PC的网关欺骗。 第一种ARP欺骗的原理是——截获网关数据。它通过发送ARP应答包通知路由器一系列错误的内网MAC地址，并按照一定的频率不断进行，使真实的地址信息无法通过更新保存在路由器中，结果路由器的所有数据只能发送给错误的MAC地址，造成正常PC无法收到信息。第二种ARP欺骗的原理是——伪造网关。它的原理是建立假网关，让被它欺骗的PC向假网关发数据，而不是通过正常的路由器途径上网。在PC看来，就是上不了网了，―网络掉线了‖。 ARP表是IP地址和MAC地址的映射关系表，任何实现了IP协议栈的设备，一般情况下都通过该表维护IP地址和MAC地址的对应关系，这是为了避免ARP 解析而造成的广播数据报文对网络造成冲击。 【实验环境】 需要使用协议编辑软件进行数据包编辑并发送；IP地址分配参考如下表所示。 设备IP地址Mac地址后缀 HostA 10.28.23.112 44-37-e6-10-77-81 HostB 10.28.23.168 28-92-4a-56-15-c2 设备连接即两台个人电脑。

【实验内容】 搭建网络实现ARP地址欺骗过程 防范ARP地址欺骗 【实验步骤】 一、设定环境(在实验中应根据具体实验环境进行实验) (1)根据环境拓扑图设定网络环境，并测试连通性。 (2)需要使用协议编辑软件进行数据包编辑并发送。 二、主机欺骗 (1)获得设定网络中各主机的IP地址和MAC地址，Ping网关。如图2-1、图 2-2 图2-1 图2-2

网络ARP欺骗的类型与防范方法

ARP欺骗，是针对以太网地址解析协议（ARP）的一种攻击技术。此种攻击可让攻击者取得局域网上的数据封包甚至可篡改封包，且可让网络上特定计算机或所有计算机无法正常连接，对局域网的安全性与稳定性有比较强的破坏力。 ARP概念 1.ARP欺骗原理： 黑客C经过收到A发出的ARP Request广播报文，能够偷听到A的 (IP, MAC) 地址, 黑客C就伪装为B，告诉A (受害者) 一个假MAC地址（这个假地址是C的MAC地址），使得A在发送给B的数据包都被黑客C截取，而A, B 浑然不知。 2.欺骗种类： 1、截获网关发出的数据。 欺骗源通过ARP报文通知网关一系列错误的内网MAC-IP地址关系，并按照一定的频率不断进行，使网关的ARP缓存表中不能保存正常的地址信息中，结果网关的所有数据只能发送给错误的MAC地址，造成正常PC无法收到信息。 2、伪造网关 欺骗源把自己伪装成网关，向局域网内的主机发送ARP应答或免费ARP报文。使得局域网内的主机误以为欺骗源的MAC是网关MAC地址。使得原本流向网关的数据都被错误地发送到欺骗源。 3、伪造主机 欺骗源C把自己伪装成局域网内的另一台主机B，使得局域网内发往B的报文都流向了C。 伪造主机的过程与伪造网关类似。 3.防范技术： 1、在网关和主机上设备静态ARP表项，这样欺骗ARP报文携带的信息与静态表项不同， 会被忽略。 仅适合于小规模局域网，不适合于DHCP。 2、在交换机上限制每个端口的ARP表项数量。端口上仅能够学习有限数量的ARP表项。 如果设置为1，则只允许一个ARP表项被学习，伪装的MAC地址就无法通过交换机。对上述[欺骗种类1]比较有较。 3、与DHCP结合。DHCP snooping的过程中，会建立DHCP表项，主机的的IP以及用户 MAC、VID、PORT、租约时间等信息组成用户记录表项，从而形成DHCP Snooping 的用户数据库。DHCP可以很清楚地知道给哪个MAC分配了哪个IP。 交换机收到ARP报文时，将收到ARP报文的源IP、源MAC、端口号、VLAN ID信息同DHCP-Snooping数据库的用户信息进行匹配。如果一致则认为合法ARP报文，按既有流程处理；否则视为非法ARP报文，丢弃处理。 4、在交换机端收集所有ARP报文信息，一但MAC和对应的IP有变动，发出警告。

arp欺骗原理及处理办法

故障原因 主要原因是在局域网中有人使用了ARP欺骗的木马程序,比如一些盗号的软件。 传奇外挂携带的ARP木马攻击,当局域网内使用外挂时，外挂携带的病毒会将该机器的MAC 地址映射到网关的IP地址上，向局域网内大量发送ARP包，致同一网段地址内的其它机器误将其作为网关，掉线时内网是互通的，计算机却不能上网。方法是在能上网时，进入MS-DOS窗口，输入命令：arp –a查看网关IP对应的正确MAC地址，将其记录，如果已不能上网，则先运行一次命令arp –d将arp缓存中的内容删空，计算机可暂时恢复上网，一旦能上网就立即将网络断掉，禁用网卡或拔掉网线，再运行arp –a。 如已有网关的正确MAC地址，在不能上网时，手工将网关IP和正确MAC绑定，可确保计算机不再被攻击影响。可在MS-DOS窗口下运行以下命令：arp –s 网关IP 网关MAC。如被攻击，用该命令查看，会发现该MAC已经被替换成攻击机器的MAC，将该MAC记录，以备查找。找出病毒计算机：如果已有病毒计算机的MAC地址，可使用NBTSCAN软件找出网段内与该MAC地址对应的IP，即病毒计算机的IP地址。 故障现象 当局域网内有某台电脑运行了此类ARP欺骗的木马的时候，其他用户原来直接通过路由器上网现在转由通过病毒主机上网，切换的时候用户会断一次线。 切换到病毒主机上网后，如果用户已经登陆了传奇服务器，那么病毒主机就会经常伪造断线的假像，那么用户就得重新登录传奇服务器，这样病毒主机就可以盗号了。 由于ARP欺骗的木马发作的时候会发出大量的数据包导致局域网通讯拥塞，用户会感觉上网速度越来越慢。当木马程序停止运行时，用户会恢复从路由器上网，切换中用户会再断一次线。 该机一开机上网就不断发Arp欺骗报文，即以假冒的网卡物理地址向同一子网的其它机器发送Arp报文，甚至假冒该子网网关物理地址蒙骗其它机器，使网内其它机器改经该病毒主机上网，这个由真网关向假网关切换的过程中其它机器会断一次网。倘若该病毒机器突然关机或离线，则其它机器又要重新搜索真网关，于是又会断一次网。所以会造成某一子网只要有一台或一台以上这样的病毒机器，就会使其他人上网断断续续，严重时将使整个网络瘫痪。这种病毒（木马）除了影响他人上网外，也以窃取病毒机器和同一子网内其它机器上的用户帐号和密码（如QQ和网络游戏等的帐号和密码）为目的，而且它发的是Arp报文，具有一定的隐秘性，如果占系统资源不是很大，又无防病毒软件监控，一般用户不易察觉。这种病毒开学初主要发生在学生宿舍，据最近调查，现在已经在向办公区域和教工住宅区域蔓延，而且呈越演越烈之势。 经抽样测试，学校提供的赛门铁克防病毒软件企业版10.0能有效查杀已知的Arp欺骗病毒（木马）病毒。恶意软件由于国际上未有明确界定，目前暂无一款防病毒软件能提供100%杜绝其发作的解决方案，需要借助某些辅助工具进行清理。 解决思路 不要把你的网络安全信任关系建立在IP基础上或MAC基础上。 设置静态的MAC-->IP对应表，不要让主机刷新你设定好的转换表。

ARP欺骗攻击技术及其防范方法

校园网中的ARP欺骗的分析与防御研究一、什么是ARP协议 要想了解ARP欺骗攻击的原理，首先就要了解什么是ARP协议。ARP是地址转换协议的英文缩写，它是一个链路层协议，工作在OSI模型的第二层，在本层和硬件接口间进行联系，同时为上层（网络层）提供服务。 我们知道，二层的以太网交换设备并不能识别32位的IP地址，它们是以48位以太网地址（就是我们常说的MAC地址）传输以太网数据包的。因此IP地址与MAC地址之间就必须存在一种对应关系，而ARP协议就是用来确定这种对应关系的协议。 ARP工作时，首先请求主机发送出一个含有所希望到达的IP地址的以太网广播数据包，然后目标IP的所有者会以一个含有IP和MAC地址对的数据包应答请求主机。这样请求主机就能获得要到达的IP地址对应的MAC地址，同时请求主机会将这个地址对放入自己的ARP表缓存起来，以节约不必要的ARP通信。ARP 缓存表采用了老化机制，在一段时间内如果表中的某一行没有使用（Windows系统这个时间为2分钟，而Cisco路由器的这个时间为5分钟），就会被删除。通过下面的例子我们可以很清楚地看出ARP的工作机制。 假定有如下五个IP地址的主机或者网络设备，它们分别是： 主机A 192.168.1.2 主机B 192.168.1.3 网关C 192.168.1.1 主机D 10.1.1.2 网关E 10.1.1.1 假如主机A要与主机B通信，它首先会检查自己的ARP缓存中是否有192.168.1.3这个地址对应的MAC地址，如果没有它就会向局域网的广播地址发送ARP请求包，大致的意思是192.168.1.3的MAC地址是什么请告诉192.168.1.2，而广播地址会把这个请求包广播给局域网内的所有主机，但是只有192.168.1.3这台主机才会响应这个请求包，它会回应192.168.1.2一个ARP 包，大致的意思是192.168.1.3的MAC地址是02-02-02-02-02-02。这样的话主机A就得到了主机B的MAC地址，并且它会把这个对应的关系存在自己的ARP 缓存表中。之后主机A与主机B之间的通信就依靠两者缓存表里的MAC地址来通信了，直到通信停止后2分钟，这个对应关系才会从表中被删除。 再来看一个非局域网内部的通信过程。假如主机A需要和主机D进行通信，它首先会发现这个主机D的IP地址并不是自己同一个网段内的，因此需要通过网关来转发，这样的话它会检查自己的ARP缓存表里是否有网关192.168.1.1对应的MAC地址，如果没有就通过ARP请求获得，如果有就直接与网关通信，然后再由网关C通过路由将数据包送到网关E，网关E收到这个数据包后发现是送给主机D（10.1.1.2）的，它就会检查自己的ARP缓存，看看里面是否有10.1.1.2对应的MAC地址，如果没有就使用ARP协议获得，如果有就是用该MAC地址与主机D通信。 通过上面的例子我们知道，在以太局域网内数据包传输依靠的是MAC地址，IP地址与MAC对应的关系依靠ARP表，每台主机（包括网关）都有一个ARP缓

ARP欺骗 -攻击原理和防范

ARP欺骗/ MITM(Man-In-The-Middle)攻击原理和防范 一、MITM(Man-In-The-Middle) 攻击原理 按照 ARP 协议的设计，为了减少网络上过多的 ARP 数据通信，一个主机，即使收到的 ARP 应答并非自己请求得到的，它也会将其插入到自己的 ARP 缓存表中，这样，就造成了“ ARP 欺骗”的可能。如果黑客想探听同一网络中两台主机之间的通信（即使是通过交换机相连），他会分别给这两台主机发送一个 ARP 应答包，让两台主机都“误”认为对方的 MAC 地址是第三方的黑客所在的主机，这样，双方看似“直接”的通信连接，实际上都是通过黑客所在的主机间接进行的。黑客一方面得到了想要的通信内容，另一方面，只需要更改数据包中的一些信息，成功地做好转发工作即可。在这种嗅探方式中，黑客所在主机是不需要设置网卡的混杂模式的，因为通信双方的数据包在物理上都是发送给黑客所在的中转主机的。 这里举个例子，假定同一个局域网内，有 3 台主机通过交换机相连： A 主机： IP 地址为 192.168.0.1 ， MAC 地址为 01:01:01:01:01:01 ； B 主机： IP 地址为 192.168.0.2 ， MA C 地址为 02:02:02:02:02:02 ； C 主机： IP 地址为 192.168.0.3 ， MAC 地址为 03:03:03:03:03:03 。 B 主机对 A 和 C 进行欺骗的前奏就是发送假的 ARP 应答包，如图所示 在收到 B主机发来的ARP应答后，A主机应知道： 到 192.168.0.3 的数据包应该发到 MAC 地址为 020********* 的主机； C 主机也知道：到 192.168.0.1 的数据包应该发到 MAC 地址为 020********* 的主机。这样， A 和 C 都认为对方的 MAC 地址是 020********* ，实际上这就是 B 主机所需得到的结果。当然，因为 ARP 缓存表项是动态更新的，其中动态生成的映射有个生命期，一般是两分钟，如果再没有新的信息更新， ARP 映射项会自动去除。所以， B 还有一个“任务”，那就是一直连续不断地向 A 和 C 发送这种虚假的 ARP 响应包，让其 ARP缓存中一直保持被毒害了的映射表项。 现在，如果 A 和 C 要进行通信，实际上彼此发送的数据包都会先到达 B 主机，这时，如果 B 不做进一步处理， A 和 C 之间的通信就无法正常建立， B 也就达不到“嗅探”通信内容的目的，因此， B 要对“错误”收到的数据包进行一番修改，然后转发到正确的目的地，而修改的内容，无非是将目的 MAC 和源MAC 地址进行替换。如此一来，在 A 和 C 看来，彼此发送的数据包都是直接到达对方的，但在 B 来看，自己担当的就是“第三者”的角色。这种嗅探方法，

使用Sniffer进行ARP地址欺骗

使用Sniffer进行ARP地址欺骗 声明：本实验教程仅限于学习用，不能用于其他非法用途，否则后果自负。 1、实验目的 1、掌握常见ARP欺骗类型和手段 2、掌握ARP协议工作原理和格式 3、掌握防范ARP地址欺骗的方法和措施 4、掌握Sniffer Pro软件的使用 2、实验环境 硬件：交换机1 台、路由器1台、计算机数台 软件：Sinfffer pro 3、参考文档 Plummer RFC826定义了ARP标准 Clark RFC 814一般性讨论了ARP地址及绑定 Parr RFC的内容涉及容错地址转换 Malkin RFC提出了UNARP Laubach RFC 1577讨论了非广播网络中得ARP PDF 文件使用 "pdfFactory Pro" 试用版本创建https://www.360docs.net/doc/916070106.html, Heinaen和Govindan RFC1735 对上进行了进一步的讨论 W.Richard Stenvens TCP/IP协议详解卷1：协议 [日]村上公保 TCP/IP网络实验程序篇科学出版社 4、实验原理 数据封装过程 1)、ARP协议简介 ARP(Address Resolve Protocol)地址请求解析协议，用于寻找和IP 地址相对应的MAC 地址。在RFC 826中定义了ARP协议的数据格式和类型。ARP协议属于在网络层的下部， 可看作为网络层和数据链路层的接口，主要用于IPv4以太网。

ARP消息类型有2 种： ARP request ：ARP 请求 ARP response ： ARP应答ARP协议格式 ARP 报文中各字段的意义 硬件类型：以太网接口类型为1 协议类型：IP协议类型为080016 操作：ARP请求为1，ARP应答为2 硬件地址长度：MAC地址长度为6B

Cisco环境下解决ARP欺骗的两种技术

Cisco环境下解决ARP欺骗的两种技术 https://www.360docs.net/doc/916070106.html, 2008-09-05 12:58 佚名 IT168 我要评论(2) ?摘要：ARP欺骗原理简单，利用的是免费ARP来达到欺骗主机上面的网关arp表项。这里介绍cisco 环境下解决ARP欺骗的2个技术：dhcp snooping和ARP inspection。 ?标签：ARP网关欺骗Cisco ? Oracle帮您准确洞察各个物流环节网上有好多求助ARP病毒防范办法，其实ARP欺骗原理简单，利用的是ARP协议的一个“缺陷”，免费ARP来达到欺骗主机上面的网关的arp表项的。 免费ARP当时设计出来是为了2个作用的： 1.IP地址冲突检测 2.ARP条目自动更新，更新网关。 arp欺骗就是利用这里面的第二条，攻击的主机发送一个arp更新，条目的ip地址是网关，但是mac地址一项，却不是网关，当其他主机接受到，会根据arp协议的规则，越新的越可靠的原则，达到欺骗的目的。虽然arp不是tcp/ip协议簇中的一员，但是鉴于以太网的大行其道，所以放弃动态ARP协议，使用手动方式的来来做arp映射，好像不大现实（个别情况除外）。 介绍下cisco网络环境下解决这个问题的思路： 其实这里面使用到了2个技术：dhcp snooping和ARP inspection 一.dhcp snooping DHCP Snooping技术是DHCP安全特性，通过建立和维护DHCP Snooping绑定表过滤不可信任的DHCP信息，这些信息是指来自不信任区域的DHCP信息。DHCP Snooping绑定表包含不信任区域的用户MAC地址、IP地址、租用期、VLAN-ID 接口等信息。 当交换机开启了DHCP-Snooping后，会对DHCP报文进行侦听，并可以从接收到的DHCP Request或DHCP Ack报文中提取并记录IP地址和MAC地址信息。另外， DHCP-Snooping允许将某个物理端口设置为信任端口或不信任端口。信任端口可以正常接收并转发DHCP Offer报文，而不信任端口会将接收到的DHCP Offer报文丢弃。这样，可以完成交换机对假冒DHCP Server的屏蔽作用，确保客户端从合法的DHCP Server获取IP 地址。 作用： 1.dhcp-snooping的主要作用就是隔绝非法的dhcp server，通过配置非信任端口。

实验三：ARP欺骗工具及原理分析

实验三：ARP欺骗工具及原理分析 一、实验目的 1.熟悉ARP欺骗攻击工具的使用 2.熟悉ARP欺骗防范工具的使用 3.熟悉ARP欺骗攻击的原理 二、实验准备 1.要求实验室内网络是连通的，组内每台计算机均可以访问另外一台计算机。 2.下载相关工具和软件包(ARP攻击检测工具，局域网终结者，网络执法官，ARPsniffer 嗅探工具)。 三、实验说明 本实验所介绍的工具软件使用起来都比较方便，操作起来也不是很难，但是功能或指令却不止一种，所以实验中只介绍其中的某一种用法。其他的则可"触类旁通"。 四、实验涉及到的相关软件下载： ARP攻击检测工具 局域网终结者 网络执法官 ARPsniffer嗅探工具 五、实验原理 1、ARP及ARP欺骗原理： ARP（Address Resolution Protocol）即地址解析协议，是一种将IP地址转化成物理地址的协议。不管网络层使用什么协议，在网络链路上传送数据帧时，最终还是必须使用硬件地址的。而每台机器的MAC地址都是不一样的，具有全球唯一性，因此可以作为一台主机或网络设备的标识。目标主机的MAC地址就是通过ARP协议获得的。 ARP欺骗原理则是通过发送欺骗性的ARP数据包致使接收者收到数据包后更新其ARP 缓存表，从而建立错误的IP与MAC对应关系，源主机发送数据时数据便不能被正确地址接收。 2、ARPsniffer使用原理： 在使用该工具时，它会将网络接口设置为混杂模式，该模式下工具可以监听到网络中传输的所有数据帧，而不管数据帧的目的地是自己还是其他网络接口的地址。嗅探器会对探测到的每一个数据帧产生硬件数据中断，交由操作系统处理，这样就实现了数据截获。 3、局域网终结者使用原理： 一个主机接收到与自已相同IP发出的ARP请求就会弹出一个IP冲突框来。利用局域网终结者可以伪造任一台主机的IP向局域网不停地发送ARP请求，同时自已的MAC也是伪造的，那么被伪造IP的主机便会不停地收到IP冲突提示，致使该主机无法上网。这便构成了局域网终结者的攻击原理。 4、网络执法官使用原理： 网络执法官原理是通过ARP欺骗发给某台电脑有关假的网关IP地址所对应的MAC地

网络安全实验2 ARP欺骗实验

实验1 ARP地址欺骗 声明：本实验教程仅限于实验室教学和实验用，不能用于其他非法用途，否则后果自负。 1、实验目的 1、掌握常见ARP欺骗类型和手段 2、掌握ARP协议工作原理和格式 3、掌握防范ARP地址欺骗的方法和措施 4、掌握Sniffer Pro软件的使用 2、实验环境 硬件：交换机1台、路由器1台、计算机数台 软件：Sinfffer pro

Heinaen和Govindan RFC1735 对上进行了进一步的讨论 W.Richard Stenvens TCP/IP协议详解卷1：协议 [日]村上公保TCP/IP网络实验程序篇科学出版社 4、实验原理 数据封装过程 1)、ARP协议简介 ARP(Address Resolve Protocol)地址请求解析协议，用于寻找和IP地址相对应的MAC 地址。在RFC 826中定义了ARP协议的数据格式和类型。ARP协议属于在网络层的下部，可看作为网络层和数据链路层的接口，主要用于IPv4以太网。 ARP消息类型有2种： ARP request ：ARP 请求 ARP response ：ARP应答 ARP协议格式

ARP报文格式 以太网帧的格式：

ü源MAC地址：发送方的MAC地址 ü源IP地址：发送方的IP地址 ü目的MAC地址：ARP请求中该字段没有意义；ARP响应中为接收方的MAC地址 ü目的IP地址：ARP请求中为请求解析的IP地址；ARP响应中为接收方的IP地址 ARP协议的改进 高速缓存技术 高速缓冲区中ARP表项新鲜性的保持：计时器 目的主机接收到ARP请求后将源主机的IP地址与物理地址映射关 系存入自己的高速缓冲区 主机启动时主动广播自己的IP地址与物理地址的映射关系 5、实验步骤 1）掌握常用的ARP常用命令 ARP命令： 功能：用于查看、添加和删除高速缓存区中的ARP表项 高速缓冲区中的ARP表项 表项添加后两分钟内没有被再次使用：删除 表项被再次使用：增加2分钟的生命周期

基于科来网络分析技术的ARP欺骗分析案例

基于科来网络分析技术的ARP欺骗分析案例 在局域网中，IP地址转换为第二层物理地址(即MAC地址)是通过ARP协议来完成的，ARP协议对网络安全具有极 其重要的意义。主机通过伪造IP地址和MAC地址实现ARP 欺骗，能够在网络中产生大量的ARP通信量使网络阻塞。 本文通过一次经典的分析案例，让大家对这种攻击方式有 一个清晰的了解。 案例背景 办公机的网段是192.168.200.X/24的，办公机的网关 地址是192.168.200.254在Cisco 3560上，服务器的地址 段为10.139.144.X/24。 在办公区访问服务器区时，会出现时通时断的现象。 办公机是通过DHCP来获取IP地址，当访问出现不通时， 重新获取一下IP地址，就可以连通，但是用一会又会出现 访问中断的情况。该局的网络环境比较简单，如下图所示：

案例分析 出现故障时，通过Ping服务器地址发现无法Ping通，然后通过Ping办公机的网关地址，发现网关地址也无法 Ping通。查看办公机的ARP表发现网关地址对应的MAC地 址为全0的MAC地址。 通过上面的分析测试我们可以了解到，当主机无法访 问服务器时，主机连网关都无法Ping通，而且主机中网关 的MAC地址全0，即主机没有学习到网关的MAC地址，所以 主机无法跟网关进行通信，从而导致主机无法连通服务器。 正常连接时主机应该有网关的IP地址和MAC地址的 ARP映射表的，但是在访问服务器不成功时并没有学习到网 关的MAC地址，造成这种故障的原因很大可能性是网络中

ARP欺骗。为了验证网络是否有ARP欺骗，我们在交换机3560上做端口镜像来抓取交互的数据包。 办公机连到3560的端口是f 0/46，所以我们只镜像f 0/46，将该端口镜像到端口f 0/25，然后把科来网络分析 系统接到f 0/25端口上捕获通信的数据包。 数据包分析 我们在分析数据包时发现，网络中存在大量的IP冲突。通过诊断视图中的诊断提示，发现产生IP地址冲突的源IP 地址是故障网段的网关地址，如下图所示：

最全的ARP欺骗攻击原理深入分析

1、ARP协议概述 IP数据包常通过以太网发送。以太网设备并不识别32位IP地址：它们是以48位以太网地址传输以太网数据包的。因此，IP驱动器必须把IP目的地址转换成以太网网目的地址。在这两种地址之间存在着某种静态的或算法的映射，常常需要查看一张表。地址解析协议(Address Resolution Protocol，ARP)就是用来确定这些映象的协议。 ARP工作时，送出一个含有所希望的IP地址的以太网广播数据包。目的地主机，或另一个代表该主机的系统，以一个含有IP和以太网地址对的数据包作为应答。发送者将这个地址对高速缓存起来，以节约不必要的ARP通信。 如果有一个不被信任的节点对本地网络具有写访问许可权，那么也会有某种风险。这样一台机器可以发布虚假的ARP报文并将所有通信都转向它自己，然后它就可以扮演某些机器，或者顺便对数据流进行简单的修改。ARP机制常常是自动起作用的。在特别安全的网络上，ARP映射可以用固件，并且具有自动抑制协议达到防止干扰的目的。 图1是一个用作IP到以太网地址转换的ARP报文的例子。在图中每一行为32位，也就是4个八位组表示，在以后的图中，我们也将遵循这一方式。 硬件类型字段指明了发送方想知道的硬件接口类型，以太网的值为1。协议类型字段指明了发送方提供的高层协议类型，IP为0806（16进制）。硬件地址长度和协议长度指明了硬件地址和高层协议地址的长度，这样ARP报文就可以在任意硬件和任意协议的网络中使用。操作字段用来表示这个报文的目的，ARP请求为1，ARP响应为2，RARP请求为3，RARP响应为4。 当发出ARP请求时，发送方填好发送方首部和发送方IP地址，还要填写目标IP地址。当目标机器收到这个ARP广播包时，就会在响应报文中填上自己的48位主机地址。

解决ARP欺骗和攻击的方法

什么是网络瓶颈？如何克服网络瓶颈对网络整体性能的影响？ 网络瓶颈指的是影响网络传输性能及稳定性的一些相关因素，如网络拓扑结构，网线，网卡，服务器配置，网络连接设备等，下面我们逐一加以简单分析： 1．组网前选择适当的网络拓扑结构是网络性能的重要保障，这里有两个原则应该把握：一是应把性能较高的设备放在数据交换的最高层，即交换机与集线器组成的网络，应把交换机放在第一层并连接服务器，二是尽可能减少网络的级数，如四个交换机级联不要分为四级，应把一个交换机做一级，另三个同时级联在第一级做为第二级； 2．网线的做法及质量也是影响网络性能的重要因素，对于100M设备(包括交换机，集线器和网卡)，要充分发挥设备的性能，应保证网线支持100M，具体是网线应是五类以上线且质量有保障，并严格按照100M网线标准(即568B和568A)做线； 3．网卡质量不过关或芯片老化也容易引起网络传输性能下降或工作不稳定，选择知名品牌可有很好的保障； 4．对某些如无盘网络，游戏网络等对服务器的数据交换频繁且大量的网络环境，服务器的硬件配置(主要是CPU处理速度，内存，硬盘，网卡)往往成为影响网络性能的最大瓶颈，提升网络性能须从此入手； 5．选择适当的网络连接设备(交换机和集线器)同样也是网络性能的重要保障，除选择知名品牌外，网络扩充导致性能下降时应考虑设备升级的必要性。 解决ARP欺骗和攻击的方法 在局域网中，通信前必须通过ARP协议来完成IP地址转换为第二层物理地址（即MAC地址）。ARP协议对网络安全具有重要的意义。通过伪造IP地址和MAC地址实现ARP欺骗，对网络的正常传输和安全都是一个很严峻的考验。 “又掉线了！！！”每当听到客户的抱怨声一片响起，网管员就坐立不安。其实，此起彼伏的瞬间掉线或大面积的断网大都是ARP欺骗在作怪。ARP欺骗攻击已经成了破坏网吧经营的罪魁祸首，是网吧老板和网管员的心腹大患。

实验_ARP地址欺骗实验讲解

ARP地址欺骗 1、实验目的 1、掌握常见ARP欺骗类型和手段 2、掌握ARP协议工作原理和格式 3、掌握防范ARP地址欺骗的方法和措施 4、掌握Sniffer Pro软件的使用 2、实验环境 硬件：交换机1 台、路由器1台、计算机数台 软件：Sinfffer pro 3、实验原理 1)、ARP协议简介 ARP(Address Resolve Protocol)地址请求解析协议，用于寻找和IP 地址相对应的MAC地址。在RFC 826中定义了ARP协议的数据格式和类型。ARP协议属于在网络层的下部，可看作为网络层和数据链路层的接口，主要用于IPv4以太网。 ARP消息类型有2 种： ARP request ：ARP 请求 ARP response ：ARP应答

ARP协议格式 数据封装过程 用于以太网的ARP请求或应答分组格式

以太网帧的格式 ARP 报文中各字段的意义 ●硬件类型：以太网接口类型为1 ●协议类型：IP协议类型为080016 ●操作：ARP请求为1，ARP应答为2 ●硬件地址长度：MAC地址长度为6B ●协议地址长度：IP地址长度为4B ●源MAC地址：发送方的MAC地址 ●源IP地址：发送方的IP地址 ●目的MAC 地址：ARP 请求中该字段没有意义；ARP 响应中为接收方的 MAC地址 ●目的IP 地址：ARP 请求中为请求解析的IP 地址；ARP 响应中为接收方的 IP地址 ARP 协议的改进 高速缓存技术 ●高速缓存区中保存最近获得的ARP表项 ●高速缓冲区中ARP表项新鲜性的保持：计时器 ●实验表明高速缓冲区的使用可以大大提高ARP 的效率 其他改进技术 ●目的主机接收到ARP请求后将源主机的IP地址与物理地址映射关系存入自己 的高速缓冲区 ●ARP请求是广播发送的，网络中的所有主机接收到ARP请求后都可以将源主 机的IP 地址与物理地址映射关系存入自己的高速缓冲区 ●主机启动时主动广播自己的IP地址与物理地址的映射关系 4、实验步骤 1）掌握常用的ARP常用命令 ARP命令：

ARP欺骗原理与解决办法

ARP欺骗原理与解决办法 2009-03-26 18:18 【故障原理】 要了解故障原理，我们先来了解一下ARP协议。 在局域网中，通过ARP协议来完成IP地址转换为第二层物理地址（即MAC地址）的。ARP 协议对网络安全具有重要的意义。通过伪造IP地址和MAC地址实现ARP欺骗，能够在网络中产生大量的ARP通信量使网络阻塞。 ARP协议是“Address Resolution Protocol”（地址解析协议）的缩写。在局域网中，网络中实际传输的是“帧”，帧里面是有目标主机的MAC地址的。在以太网中，一个主机要和另一个主机进行直接通信，必须要知道目标主机的MAC地址。但这个目标MAC地址是如何获得的呢？它就是通过地址解析协议获得的。所谓“地址解析”就是主机在发送帧前将目标IP地址转换成目标MAC地址的过程。ARP协议的基本功能就是通过目标设备的IP地址，查询目标设备的MAC地址，以保证通信的顺利进行。 每台安装有TCP/IP协议的电脑里都有一个ARP缓存表，表里的IP地址与MAC地址是一一对应的，如下所示。 主机IP地址MAC地址 A 192.168.16.1 aa-aa-aa-aa-aa-aa B 192.168.16.2 bb-bb-bb-bb-bb-bb C 192.168.16.3 cc-cc-cc-cc-cc-cc D 192.168.16.4 dd-dd-dd-dd-dd-dd 我们以主机A（192.168.16.1）向主机B（192.168.16.2）发送数据为例。当发送数据时，主机A会在自己的ARP缓存表中寻找是否有目标IP地址。如果找到了，也就知道了目标MAC地址，直接把目标MAC地址写入帧里面发送就可以了；如果在ARP缓存表中没有找到相对应的IP地址，主机A就会在网络上发送一个广播，目标MAC地址是“FF.FF.FF.FF.FF.FF”，这表示向同一网段内的所有主机发出这样的询问：“192.168.16.2的MAC地址是什么？”网络上其他主机并不响应ARP询问，只有主机B接收到这个帧时，才向主机A做出这样的回应：“192.168.16.2的MAC地址是bb-bb-bb-bb-bb-bb”。这样，主机A就知道了主机B的MAC地址，它就可以向主机B发送信息了。同时它还更新了自己的ARP缓存表，下次再向主机B 发送信息时，直接从ARP缓存表里查找就可以了。ARP缓存表采用了老化机制，在一段时间内如果表中的某一行没有使用，就会被删除，这样可以大大减少ARP缓存表的长度，加快查询速度。 从上面可以看出，ARP协议的基础就是信任局域网内所有的人，那么就很容易实现在以太网上的ARP欺骗。对目标A进行欺骗，A去Ping主机C却发送到了DD-DD-DD-DD-DD-DD 这个地址上。如果进行欺骗的时候，把C的MAC地址骗为DD-DD-DD-DD-DD-DD，于是A 发送到C上的数据包都变成发送给D的了。这不正好是D能够接收到A发送的数据包了么，

计算机网络安全实验arp欺骗

《计算机网络安全》实验报告实验名称： arp欺骗 提交报告时间：年月日

一、实验目的 程序实现ARP欺骗，对ARP欺骗进行进一步的认识并提出防范措施。 二、系统环境 主机1 windows系统 主机2 windows系统

主机3 linux操作系统 三、网络环境 同一网段下的网络 四、实验步骤与实验结果 将主机A、C、E为一组，B、D、F为一组。实验角色说明如下： 实验主机实验角色 主机A、B 目标主机一/Windows 主机C、D 黑客主机/Linux 主机E、F 目标主机二/Windows 首先使用“快照X”恢复Windows/Linux系统环境。 一．ARP欺骗攻击 实验需求： （1）本实验使用交换网络结构（参见附录B），组一、二和三间通过交换模块连接（主机A、C、E通过交换模块连接，主机B、D、F也通过交换模块连接）。因此，正常情况下，主机C无法以嗅探方式监听到主机A与主机E间通信数据，同样主机D也无法监听到主机B与主机F 间的通信数据。 （2）主机C要监听主机A和主机E间的通信数据；主机D要监听主机B与主机F间的通信数据。 分析：

黑客主机通过对目标主机进行ARP欺骗攻击，获取目标主机间的通信数据。 1．正常通信 图6-1-1 目标主机正常通信示意图 （1）目标主机二单击工具栏“UDP工具”按钮，启动UDP连接工具，创建2513/udp服务端。 主机1发送数据 （2）目标主机一启动UDP连接工具，将“目标机器”IP地址指定为目标主机二的地址，目标端口与服务器一致。在“数据”文本框中输入任意内容，单击“发送”按钮，向服务端发数据。服务端确定接收到数据。

ARP欺骗方法

1. 判断是否 ARP欺骗 判断是否 ARP欺骗判断是否 ARP spoofing病毒的现象： A）是否有一台或几台电脑可以上网，而其他电脑不能上网(不是必然的现象，也有可能是其他网络问题导致这个现象) B）客户机器上 ARP缓存中不同IP地址对应的MAC地址是一样的(例外:如果正巧查的是那台中毒的电脑，就没有这个现象) 方法: 在命令行窗口输入: arp –a 可以看到ARP缓存中的MAC地址对应表，如图，如果有两个IP对应的MAC地址一样，就表明有可能网络中了ARP病毒。 U（推荐先使用这种方法查看） C）3. 交换机 MAC表上MAC地址有的是一样的，这个需要工程师查看交换机MAC表信息 D）4. 交换机上会有警报日志，有 MAC地址冲突(这个需要工程师查看交换机日志) 2. 定位病毒源 1．使用 arp –a查看：

如果 10.28.133.1是正确的网关的话，10.28.133.107 就是感染了ARP欺骗病毒的电脑（U推荐先使用这种方法U） 2．使用特殊的TSC工具，在文件包中有(ARP)TSC.zip（推荐使用）通过把这个TSC部署到客户端，这个TSC找到病毒源头 步骤: 将 TSC 工具从 OfficeScan 中央控制台部署到客户端 从中央控制台命令客户端进行扫描扫描完毕后检查中央控制台的病毒日志记录，搜索日志中的 POSSIBLE_ARP 记录，通过该记录可以找到感染源的机器名。 3．在交换机和路由器上看 MAC地址表,查看是否有重复的MAC地址，然后查找对应的IP地址，找到该电脑。 3. 排除网络瘫痪问题这个时候有两种方法来快速恢复网络。 1）拔掉此机器的网线(推荐使用的方法)。 2)如果你的二层交换机支持单个端口的配置，那么U封锁此网卡连接的交换机的端口U。通过以上两种方式隔离此机器后，等ARP缓存更新后，其他机器即可正常联网。一般来说 MS Windows 高速缓存中的每一条记录包括ARP的生存时间一般为60秒。 4. 抓获 ARP欺骗病毒样本 1. 使用 SIC 2.0 ARP 版本收集系统信息 SIC 2.0 ARP 版本是一个特殊的 SIC 版本，专门收集 ARP 欺骗的相关信息，使用的方法和 SIC2.0 一样，收集到 SIC LOG 后把 SIC 日志发给趋势科技病毒工程师分析处理。 2. 使用 Icesword查找可疑的进程如遇有无法收集有效信息的情况（病毒采用 Rootkit技术进行自身的隐藏），使用 Icesword （Rootkit 检测工具）检查是否有隐藏项目，在Icesword中隐藏的进程、文件和服务会以红色显示。 Icesword 使用说明 通过 Icesword 检查隐藏进程 需要使用到的工具： (ARP)TSC.zip (ARP)SIC 2.0.zip IceSword1.18.rar ipmac_binds_tools .rar

ARP地址欺骗实验报告

计算机科学与技术系 实验报告 专业名称网络工程 课程名称 TCP/IP协议 项目名称 ARP地址欺骗 班级 13网络工程2班 学号 1304032025 姓名王梦梦（E） 同组人员张奔、肖治才、张嫚嫚、杨中成、杨维维 实验日期 2015/12.7

一、实验目的与要求： （简述本次实验要求达到的目的，涉及到的相关知识点，实验的具体要求及实验环境，实验环境中标明源主机、目的主机的IP地址及MAC地址） 1、实验目的 理解ARP协议的原理，掌握ARP地址欺骗的方法。 2、实验环境（标明拓扑结构、源主机、目的主机的IP地址及MAC地址） 发给A的包：数据链路层：源主机MAC:D 目的主机MAC:A ARP报头格式：源主机IP:C 目的主机IP:A 源主机MAC:D 目的主机MAC:000000-000000 发给C的包：数据链路层：源主机MAC:D 目的主机MAC:C ARP报头格式：源主机IP:A 目的主机IP:C 源主机MAC:D 目的主机MAC:000000-000000 二、实验内容 （根据本次实验项目的具体任务和要求，完成相关内容，可包括：实验原理、实验流程概述、实验具体步骤、关键技术分析、实验过程。） 1、实验原理 ARP协议是用来已知IP地址求MAC地址。在每台主机中都有一张ARP地址缓存表，当有ARP请求时，它不但会应答，还会将请求报文中ARP层的源IP和源MAC与本地缓存进行对比，若不一致，则更新。 2、实验流程概述 1）编辑ARP报文中的相关字段值 2）持续发送报文 3）各主机检查本地地ARP地址缓存表，观察D发包前后ARP缓存表的变化。 3、实验具体步骤 各主机打开工具区的“拓扑验证工具”，选择相应的网络结构，配置网卡后，进行拓扑验证，如果通过拓扑验证，关闭工具继续进行实验，如果没有通过，请检查网络连接。 本练习将主机A、C和D作为一组，主机B、E和F作为一组。现仅以主机A、C、D所在组为例，其它组的操作参考主机A、C、D所在组的操作。 1. 主机A和主机C使用“arp -a”命令察看并记录ARP高速缓存。 2. 主机A、C启动协议分析器开始捕获数据并设置过滤条件（提取ARP协议和ICMP协议）。 3. 主机A ping 主机C。观察主机A、C上是捕获到的ICMP报文，记录MAC 地址。 4. 主机D启动协议编辑器向主机A编辑ARP请求报文（暂时不发送）。其中： MAC层：

arp欺骗超详细过程

（一）ARP工作原理、ARP攻击分析叙述： 随着网络设备在接入市场的应用也越来越多；同时遇到的问题也越来越多样，其中最让人头疼的就是ARP 的问题。 众所周知，ARP的基本功能就是在以太网环境中，通过目标设备的IP地址，查询目标设备的MAC地址，以保证通信的顺利进行。但由于ARP的广播、动态学习等特性注定了它不是一种安全的协议，所以在实际应用中，会由于各种各样的原因使ARP学习失败，从而影响网络的互通性，并进而影响用户的业务稳定运行。由于ARP处于数据链路层，处于整个OSI开放式七层模型的倒数第二层，所以除了HUB等极少数的、几乎所有跟以太网接口有关的设备，都涉及到ARP处理的问题。如果ARP问题处理不好，带来的影响也是非常巨大的。 在整个internet网络体系中，网络设备主要分为两类：一类就是安装有各种操作系统平台的PC、服务器等host；而另外一类就是负责网络互联的路由器、交换机、防火墙等数据通讯设备。这些设备由于自身所处的网络位置的不同、安全稳定程度的不同、服务的不同，在ARP机制的处理上也不尽相同，当然本文不是要全面阐述ARP的原理和实现，只是希望能够说明并解决或规避在我们的应用环境中出现的问题――我们考虑的范围是Win2K/XP主机和路由器、交换机。 1 ARP基础知识 一般的，正常的ARP过程只需ARP Request和ARP Response两个过程，简单的说就是一问一答，如下： 这记录了局域网内一台IP为192.168.19.180的PC与网关设备（IP为192.168.1.6）之间的ARP交互，该PC发送请求之后，在0.000434秒之后，网关设备做出了回应，此时路由器就学习到了对方的ARP信息：如下： 我们关注的是ARP的过程，而不是结果；来看一下ARP Request： 从[Ethernet Header]可以看出，ARP请求的目标地址是全F，也就是广播地址；因为在请求之前，本PC 不知道对方的MAC地址，为了确保ARP Request能够让对方收到，以广播形式方式是很自然的选择。在[ARP]

ARP欺骗与防御手段分析

ARP欺骗与防御手段神州数码网络公司

目录 1. ARP欺骗 (3) 1.1. ARP协议工作原理 (3) 1.2. ARP协议的缺陷 (3) 1.3. ARP协议报文格式 (4) 1.4. ARP攻击的种类 (5) 1.4.1. ARP网关欺骗 (5) 1.4.2. ARP主机欺骗 (6) 1.4.3. 网段扫描 (8)

1.ARP欺骗 在与用户的沟通过程中，感觉到用户的网络管理人员最头痛也是频繁出现的问题就是ARP的病毒攻击问题。在一个没有防御的网络当中暴发的ARP病毒带来的影响是非常严重的，会造成网络丢包、不能访问网关、IP地址冲突等等。多台设备短时间内发送大量ARP 报文还会引起设备的CPU利用率上升，严重时可能会引起核心设备的宕机。 如何解决ARP攻击的问题呢？首先要从ARP攻击的原理开始分析。 1.1. ARP协议工作原理 在TCP/IP协议中，每一个网络结点是用IP地址标识的，IP地址是一个逻辑地址。而在以太网中数据包是靠48位MAC地址（物理地址）寻址的。因此，必须建立IP地址与MAC 地址之间的对应（映射）关系，ARP协议就是为完成这个工作而设计的。 TCP/IP协议栈维护着一个ARP cache表，在构造网络数据包时，首先从ARP表中找目标IP对应的MAC地址，如果找不到，就发一个ARP request广播包，请求具有该IP地址的主机报告它的MAC地址，当收到目标IP所有者的ARP reply后，更新ARP cache。ARP cache有老化机制。 1.2. ARP协议的缺陷 ARP协议是建立在信任局域网内所有结点的基础上的，它很高效，但却不安全。它是无状态的协议，不会检查自己是否发过请求包，也不管（其实也不知道）是否是合法的应答，只要收到目标MAC是自己的ARP reply包或arp广播包（包括ARP request和ARP reply），都会接受并缓存。这就为ARP欺骗提供了可能，恶意节点可以发布虚假的ARP报文从而影响网内结点的通信，甚至可以做“中间人”。