ARP和ARP欺骗详解

ARP命令详解及欺骗原理.txt我都舍不得欺负的人，哪能让别人欺负？一辈子那么长，等你几年算什么我爱的人我要亲手给她幸福别人我不放心我想你的时候我一定要找得到你不许你们欺负他！全世界只有我才可以！放弃你，下辈子吧！！ARP命令详解及欺骗原理 1_键舞者——燃情闪客百度空间 | 百度首页 | 登录键舞者——燃情闪客未曾清贫难成人，不经打击老天真。

自古英雄出炼狱，从来富贵入凡尘。

醉生梦死谁成器，拓马长枪定乾坤。

挥军千里山河在，立名扬威传后人。

主页博客相册|个人档案 |好友查看文章ARP命令详解及欺骗原理 12008年06月13日星期五 11:22arp命令使用详解（1）显示和修改“地址解析协议 (ARP)”缓*存*中的项目。

ARP 缓*存*中包含一个或多个表，它们用于*存*储 IP地址及其经过解析的以太网或令牌环物理地址。

计算机上安装的每一个以太网或令牌环网络适配器都有自己单独的表。

如果在没有参数的情况下使用，则 arp命令将显示帮助信息。

语法arp[-a [InetAddr] [-N IfaceAddr]] [-g [InetAddr] [-N IfaceAddr]] [-dInetAddr [IfaceAddr]] [-s InetAddr EtherAddr [IfaceAddr]]参数-a[ InetAddr] [ -N IfaceAddr]显示所有接口的当前 ARP 缓*存*表。

要显示特定 IP 地址的 ARP 缓*存*项，请使用带有 InetAddr 参数的 arp -a，此处的InetAddr 代*表 IP 地址。

如果未指定 InetAddr，则使用第一个适用的接口。

要显示特定接口的 ARP 缓*存*表，请将 -NIfaceAddr 参数与 -a 参数一起使用，此处的 IfaceAddr 代*表指派给该接口的 IP 地址。

-N 参数区分大小写。

-g[ InetAddr] [ -N IfaceAddr]与 -a 相同。

ARP欺骗（完全版）在讲ARP欺骗之前先讲讲什么是ARP以及ARP欺骗的原理吧。

⼀、什么是ARP？arp英⽂全称： address resolution protocol 中⽂：地址解析协议它的作⽤：是根据IP地址获取获取物理地址的⼀个TCP/IP协议。

主机发送信息的时候将⼀个包涵⽬标主机的IP地址的ARP请求通过⼴播到⽹络上所有的主机，并且接受返回信息，以此来确定⽬标的物理地址。

收到返回消息后讲该IP和物理地址存在本机ARP缓存中（这个属于动态ARP）兵保留⼀定的时间。

下次请求时就可以直接查询ARP缓存以节约资源。

⼆、 ARP欺骗原理⼤家通过知道arp的原理之后就应该知道arp的缺陷了。

当arp通过⼴播的形式的时候，虽然主机默认的是：与⾃⼰的ip不匹配的就视为丢弃，但是我们可以通过⼿动的⽅式来跟靶机讲我就是⽹关或者其它主机，从⽽就达到了欺骗⽬的。

实验环境：1.虚拟机kali IP：192.168.1.2 MAC:00:0C:29:E4:5C:D2 （攻击机）2.虚拟机win7 IP：192.168.1.3 MAC:00-0C-29-CA-29-88（靶机：被攻击机）3.宿主机win7 IP：192.168.1.1 MAC:0A-00-27-00-00-18（服务器DVWA）　例如：虚拟机win7想访问宿主机的服务器，那么必须知道宿主机的MAC地址，但⼜因为arp缓存⾥⾯没有宿主机的MAC地址，所以就必须以⼴播的形式来跟宿主机进⾏连接。

然后它就会讲：请问谁的IP 是192.168.1.1，请把你的MAC给我。

宿主机看见⼴播的地址和⾃⼰的地址相同，所以就会回复靶机讲它是，并且把Mac地址发给它，从⽽就建⽴了连接。

但是如果kali想攻击它，kali就会在靶机⼴播的时候也会⼀直⼴播发送消息讲它是192.168.1.1，并把MAC发给它，所以靶机就以为它是服务器从⽽就会上传⼀些敏感⽂件给它。

从⽽就达到了欺骗。

什么是ARP? 什么是ARP欺骗?ARP（Address Resolution Protocol，地址解析协议）是一个位于TCP/IP协议栈中的低层协议，负责将某个IP地址解析成对应的MAC地址。

什么是ARP欺骗?从影响网络连接通畅的方式来看，ARP欺骗分为二种，一种是对路由器ARP表的欺骗；另一种是对内网PC的网关欺骗。

第一种ARP欺骗的原理是——截获网关数据。

它通知路由器一系列错误的内网MAC地址，并按照一定的频率不断进行，使真实的地址信息无法通过更新保存在路由器中，结果路由器的所有数据只能发送给错误的MAC地址，造成正常PC无法收到信息。

第二种ARP欺骗的原理是——伪造网关。

它的原理是建立假网关，让被它欺骗的PC向假网关发数据，而不是通过正常的路由器途径上网。

在PC看来，就是上不了网了，“网络掉线了”。

如何检查和处理“ ARP 欺骗”木马的方法1 ．检查本机的“ ARP 欺骗”木马染毒进程同时按住键盘上的“ CTRL ”和“ ALT ”键再按“ DEL ”键，选择“任务管理器”，点选“进程”标签。

察看其中是否有一个名为“ MIR0.dat ”的进程。

如果有，则说明已经中毒。

右键点击此进程后选择“结束进程”。

参见右图。

2 ．检查网内感染“ ARP 欺骗”木马染毒的计算机在“开始” - “程序” - “附件”菜单下调出“命令提示符”。

输入并执行以下命令：ipconfig记录网关IP 地址，即“ Default Gateway ”对应的值，例如“ 59.66.36.1 ”。

再输入并执行以下命令：arp –a在“ Internet Address ”下找到上步记录的网关IP 地址，记录其对应的物理地址，即“ Physical Address ”值，例如“ 00-01-e8-1f-35-54 ”。

在网络正常时这就是网关的正确物理地址，在网络受“ ARP 欺骗”木马影响而不正常时，它就是木马所在计算机的网卡物理地址。

网络协议欺骗攻防小结-电脑资料在网络的虚拟环境中和现实中一样，各种各样的人都有，各种各样的欺骗技术也都横行，。

笔者最近闲来无事总结了一下常见的欺骗技术和防范的方法。

希望对广大读者有所帮助。

一、ARP欺骗ARP协议用于IP地址到MAC地址的转换，此映射关系存储在ARP缓存表中，若ARP缓存表被他人非法修改，则会导致发送给正确主机的数据包发送给另外一台由攻击者控制的主机。

ARP欺骗(ARP spoofing)，也叫ARP毒药(ARP poison)，即可完成这些功能。

假设攻击者和目标主机在同一个局域网中，并且想要截获和侦听目标主机到网关间的所有数据。

当然，对于使用集线器的局域网环境，攻击者只需要把网卡设置为混杂模式即可。

但是现在的局域网都是交换机了，不仅可以提高局域网的容量，而且可以提高安全性。

在这种情况下，攻击者首先会试探交换机是否存在失败保护模式(fail-safe mode)，是交换机所处的特殊模式状态。

交换机维护IP地址和MAC 地址的映射关系时会花费一定处理能力，当网络通信时出现大量虚假MAC地址时，某些类型的交换机会出现过载情况，从而转换到失败保护模式。

若交换机不存在失败保护模式，则需要使用ARP欺骗技术。

攻击者主机需要两块网卡，IP地址分别是192.168.0.5和192.168.0.6，插入交换机的两个端口，准备截获和侦听目标主机192.168.0.3和路由器192.168.0.1之间的所有通信。

另外攻击者主机还需要有IP数据包转发功能，此项功能在Linux下只需要执行命令echo 1> /proc/sys/net/ipv4/ip_forward就可以。

以192.168.0.4的网络通信为例，正常的ARP转换如下：1.主机A192.168.0.4想要与路由器192.168.0.1通信，从而接入Internet。

2.主机A以广播的方式发送ARP请求，希望得到路由器的MAC。

3.交换机收到ARP请求，并把此请求发送给连接到交换机的各个主机。

ARP协议、ARP欺骗与攻击、ARP攻击防御广播：将广播地址作为目的地址的数据帧；每个网段的最后一个IP地址就是该网段的广播地址。

如（10.1.1.0/24中的10.1.1.255就是该网段的广播地址）广播域：网络中能接收到同一个广播所有节点的集合MAC地址广播广播地址：FF－FF－FF－FF－FF－FFIP地址广播1、255.255.255.2552、广播IP地址为IP地址网段的广播地址，如192.168.1.255/24交换机不能隔离广播，路由隔离广播————————————————ARP协议：地址解析协议，即ARP（Address Resolution Protocol）作用：将一个已知的IP地址解析成MAC地址---- ----------- -------- -----原理：1）ARP广播请求主机A要和主机C通信，但是事先他并不知道自己C的MAC 地址是多少，那这时候他怎么办？只能发一个广播包了呀，帧结构里面的源MAC地址填的是自己的MAC ，目标地址的MAC不知道那就是FF-FF-FF-FF-FF-FF,ARP 请求报文中包含源IP地址、目的IP地址、源MAC地址、目的MAC地址（目的MAC的值为0；全0代表这个地址待填充），请求报文会在网络中传播，该网络中的所有网关都会接受到ARP请求报文。

2）ARP单播应答当主机C收到A主机发送的广播包后知道就是找它，那它得给主机A回应一个ARP应答呀，ARP应答报文中的源协议地址变成了主机C主机的IP地址，目标地址就是主机A的IP地址，目的MAC是主机A的MAC ，源MAC地址就是主机的MAC地址，然后通过单播的方式传送到主机A。

ARP缓存【以最后收到的应答为准】当主机A收到ARP应答后做的事情就是把主机C的MAC 地址存放到自己的ARP缓存表中，下次如果还有数据包要发送往C，那它就不会广播再去发一次而是找到ARP缓存表的记录，然后把C的MAC 地址填上去就发送数据包了。

arp攻击方式及解决方法ARP（地址解析协议）是计算机网络中一种用来将IP地址转换为MAC地址的协议。

然而，正因为ARP协议的特性，它也成为了黑客进行网络攻击的目标之一。

本文将介绍ARP攻击的几种常见方式，并提供解决这些攻击方式的方法。

一、ARP攻击方式1. ARP欺骗攻击ARP欺骗攻击是最常见的ARP攻击方式之一。

攻击者发送伪造的ARP响应包，将自己的MAC地址伪装成其他主机的MAC地址，迫使目标主机发送网络流量到攻击者的机器上。

2. ARP缓存投毒ARP缓存投毒是一种通过向目标主机的ARP缓存中插入虚假的ARP记录来实施攻击的方式。

攻击者伪造合法主机的MAC地址，并将其与错误的IP地址关联，从而导致目标主机将网络流量发送到错误的目的地。

3. 反向ARP（RARP）攻击反向ARP攻击是使用类似ARP欺骗的方式，攻击者发送伪造的RARP响应包，欺骗目标主机将攻击者的MAC地址与虚假的IP地址进行关联。

二、解决ARP攻击的方法1. 使用静态ARP表静态ARP表是手动创建的ARP表，其中包含了真实主机的IP地址和MAC地址的映射关系。

通过使用静态ARP表，可以避免因为欺骗攻击而收到伪造的ARP响应包。

2. 使用防火墙防火墙可以检测和过滤网络中的恶意ARP请求和响应包。

通过配置防火墙规则，可以限制只允许来自合法主机的ARP请求和响应。

3. 使用网络入侵检测系统（NIDS）网络入侵检测系统可以监测网络中的恶意ARP活动，并提供实时告警。

通过使用NIDS，可以及时发现并应对ARP攻击事件。

4. ARP绑定ARP绑定可以将指定的IP地址和MAC地址绑定在一起，防止ARP欺骗攻击。

主机在发送ARP请求时会同时检查绑定表，如果发现IP地址和MAC地址的对应关系不匹配，则会拒绝该ARP响应。

5. 使用加密技术使用加密技术可以防止ARP请求和响应包被篡改和伪造。

通过在ARP包中添加加密信息，可以提高网络的安全性，防止ARP攻击的发生。

什么是IP地址劫持的方式IP地址劫持的方式是指通过某种手段来篡改或劫持网络通信中的IP 地址，从而使得通信的目标或中间节点受到控制或干扰。

IP地址劫持主要可以分为以下几种方式：一、DNS劫持DNS（Domain Name System，域名系统）是将域名解析为相应IP地址的系统。

DNS劫持即黑客攻击者通过篡改DNS服务器的解析记录，使得用户输入正确的域名时，被劫持到错误的IP地址。

用户在访问网站时，其实是访问了黑客控制的恶意网站，导致用户受到欺骗或遭受攻击。

二、ARP欺骗ARP（Address Resolution Protocol，地址解析协议）是将IP地址解析为相应MAC地址的协议。

ARP欺骗是指攻击者通过发送伪造的ARP响应包来欺骗网络中的设备，使得其将通信目标的IP地址映射到攻击者的MAC地址上。

这样攻击者就能够截获或篡改受害者的网络通信，进行信息窃取或者中间人攻击。

三、BGP劫持BGP（Border Gateway Protocol，边界网关协议）是用于互联网中路由器之间相互通信和交换路由信息的协议。

BGP劫持是指攻击者通过改变路由器之间的路由表信息，将正常的数据流量转发到攻击者控制的网络中。

这样攻击者就能够监视、篡改或干扰受害者的网络通信。

四、HTTP劫持HTTP劫持，也称为Web劫持，是指黑客攻击者通过篡改HTTP响应包或者HTTP请求包，来控制用户的浏览器行为或者获取用户的敏感信息。

攻击者可以在HTTP响应包中插入广告、恶意代码或者重定向用户浏览的网页，从而达到欺骗或攻击用户的目的。

五、WiFi劫持WiFi劫持是指攻击者通过创建恶意的WiFi热点，吸引用户连接并获取用户的敏感信息。

攻击者可以将恶意代码注入到用户设备上，或者通过中间人攻击来窃取用户的网络通信数据。

用户在使用公共WiFi 时，要注意连接正规的、可信的WiFi热点，避免受到WiFi劫持的威胁。

六、服务器劫持服务器劫持是指攻击者通过入侵服务器，篡改网站内容或者进行其他恶意操作。