ARP欺骗的种类及危害

ARP欺骗，是针对以太网地址解析协议（ARP）的一种攻击技术。

此种攻击可让攻击者取得局域网上的数据封包甚至可篡改封包，且可让网络上特定计算机或所有计算机无法正常连接，对局域网的安全性与稳定性有比较强的破坏力。

ARP概念1.ARP欺骗原理：黑客C经过收到A发出的ARP Request广播报文，能够偷听到A的 (IP, MAC) 地址, 黑客C就伪装为B，告诉A (受害者) 一个假MAC地址（这个假地址是C的MAC地址），使得A在发送给B的数据包都被黑客C截取，而A, B 浑然不知。

2.欺骗种类：1、截获网关发出的数据。

欺骗源通过ARP报文通知网关一系列错误的内网MAC-IP地址关系，并按照一定的频率不断进行，使网关的ARP缓存表中不能保存正常的地址信息中，结果网关的所有数据只能发送给错误的MAC地址，造成正常PC无法收到信息。

2、伪造网关欺骗源把自己伪装成网关，向局域网内的主机发送ARP应答或免费ARP报文。

使得局域网内的主机误以为欺骗源的MAC是网关MAC地址。

使得原本流向网关的数据都被错误地发送到欺骗源。

3、伪造主机欺骗源C把自己伪装成局域网内的另一台主机B，使得局域网内发往B的报文都流向了C。

伪造主机的过程与伪造网关类似。

3.防范技术：1、在网关和主机上设备静态ARP表项，这样欺骗ARP报文携带的信息与静态表项不同，会被忽略。

仅适合于小规模局域网，不适合于DHCP。

2、在交换机上限制每个端口的ARP表项数量。

端口上仅能够学习有限数量的ARP表项。

如果设置为1，则只允许一个ARP表项被学习，伪装的MAC地址就无法通过交换机。

对上述[欺骗种类1]比较有较。

3、与DHCP结合。

DHCP snooping的过程中，会建立DHCP表项，主机的的IP以及用户MAC、VID、PORT、租约时间等信息组成用户记录表项，从而形成DHCP Snooping 的用户数据库。

DHCP可以很清楚地知道给哪个MAC分配了哪个IP。

网络安全中的ARP攻击与防御技术网络安全是当今社会亟待解决的问题之一，而ARP攻击是网络安全的一个重要方面。

ARP（Address Resolution Protocol）是在局域网中将IP地址转换为MAC地址的协议。

ARP攻击是指攻击者利用网络重放、欺骗等手段，混淆MAC地址，使数据包传输至错误的设备，从而实现非法窃取、篡改、拦截数据等目的。

本文将阐述ARP攻击的类型、危害以及防御技术。

一、ARP攻击类型1.欺骗攻击欺骗攻击是ARP攻击中最常见的一种类型。

攻击者通过伪造源MAC地址，向目标主机发送虚假的ARP响应包，欺骗其将攻击者的MAC地址误认为是网关的MAC地址，使得目标主机的所有流量都被攻击者所控制。

2.中间人攻击中间人攻击是指攻击者在通信双方之间插入自己，屏蔽双方之间的通信，可用于窃听或篡改通信内容。

攻击者通过欺骗双方主机，使得每个主机都将其MAC地址当做网关的MAC地址，从而使双方都认为它们在与网关通信，实际上却被攻击者所控制。

3.重放攻击重放攻击是指攻击者通过截获数据包，再次发送这些数据包，使得目标主机误认为这些数据包来自于合法的源地址。

攻击者可以基于此窃取敏感信息或篡改通信内容。

二、ARP攻击危害ARP攻击可以造成以下危害：1.窃取信息ARP攻击者可以通过欺骗建立中间人攻击，窃取用户账号、密码等敏感信息。

2.篡改数据攻击者可以在中间人攻击中，篡改数据包的内容，从而影响网络传输过程中数据的真实性，例如拦截传输的文件内容并进行篡改。

3.劫持会话攻击者可以在ARP攻击中，劫持用户的会话，将用户强制下线，并据此进行非法操作。

三、ARP攻击防御技术1.升级路由器固件升级路由器固件可以消除一些已知的网络安全漏洞，提高路由器安全性，从而防止一些ARP攻击。

2.使用ARP防火墙ARP防火墙是通过静态配置软件/硬件设备与网络的关系，来识别并阻断非授权设备与网络中特定子网的通信。

ARP防火墙可以防止接入局域网的恶意主机和非法服务器，以及ARP欺骗等攻击。

ARP欺骗根据欺骗对象的不用可以分为三种，
1. 只欺骗受害主机。

实施欺骗后效果如下：
2. 只欺骗路由器、网关。

实施欺骗后效果如下：
3. 双向欺骗，即前面两种欺骗方法的组合使用。

实施欺骗后的效果如下：
ARP欺骗带来的危害可以分为几大类，
1. 网络异常。

具体表现为：掉线、IP冲突等。

2. 数据窃取。

具体表现为：个人隐私泄漏（如MSN聊天记录、邮件等）、账号被盗用（如QQ账号、银行账号等）。

3. 数据篡改。

具体表现为：访问的网页被添加了恶意内容，俗称“挂马”。

4. 非法控制。

具体表现为：网络速度、网络访问行为（例如某些网页打不开、某些网络应用程序用不了）受第三者非法控制。

ARP欺骗根据发起个体的不同可以分为两类，
1. 人为攻击。

人为攻击的目的主要是：造成网络异常、窃取数据、非法控制。

2. ARP病毒。

ARP病毒不是特指某一种病毒，而是指所有包含有ARP欺骗功能的病毒的总称。

ARP病毒的目的主要是：窃取数据（盗号等）、篡改数据（挂马等）。

从目前的情况来看，ARP欺骗（不管是人为的还是ARP病毒）大多数是在网络异常后被发现的。

请注意，精心策划的人为ARP欺骗、设计良好的ARP病毒，是不会造成网络异常的，所以网络没有出现异常并不代表不存在ARP欺骗问题！。

ARP欺骗的原理及防治【摘要】文章介绍了ARP协议的含义和工作原理，分析了ARP欺骗的原理、网段内和跨网段ARP欺骗的实现过程、ARP欺骗的危害和现象。

最后，分别介绍了几种能够有效防御arp欺骗攻击的安全防范策略。

【关键词】ARP欺骗，MAC地址，ARP缓存表，绑定，网络安全1 ARP协议简介ARP（Address Resolution Protocol）即地址解析协议，所谓“地址解析”就是主机在发送帧前将目标IP地址（即逻辑地址）转换成目标MAC地址（即物理地址）的过程。

ARP协议的基本功能就是将逻辑地址映射为物理地址。

2 ARP协议的工作过程假设一个局域网中有三台电脑组成，该局域网由交换机（Switch）连接，三台电脑分别用A，S，D标识，上Internet 时网关IP地址为192.168.0.1，MAC 为gg-gg-gg-gg-gg-gg。

在局域网中，每台安装有TCP/IP协议的电脑里都有一个ARP缓存表，表里的IP地址与MAC地址是一一对应的。

假设以主机S要给主机D发送数据，在主机S内部，主机S要先查询自身的ARP缓存表，查看里面是否有192.168.0.4这台主机的MAC地址，如果有，就将主机D的MAC地址封装在数据包的外面，直接发送出去即可。

如果没有，这时主机S要向同一网段局域网内发送一个ARP Request 广播包。

全网络的主机都收到该ARP广播包了，包括主机A和D。

主机A一看其要查询的IP地址不是自己的，就将该数据包丢弃。

而主机D一看IP地址192.168.0.4正是自己的，则单独向主机S发送一条ARP Reply 封包应答。

3 ARP欺骗的原理ARP协议的基础就是信任局域网内所有的主机和网关，即无论局域网中任何主机，其发送的ARP数据包都是正确的。

假如有主机假冒其它主机或网关，就很容易实现在以太网上的ARP欺骗。

如在上述数据发送中，当主机S向全网询问“IP地址为192.168.0.4的主机的MAC地址是多少”后，但是当此时，主A 也作出了ARP就应答，由于主机A的不停应答，这样，主机A就劫持了由主机S发送给主机D的数据，这就是ARP欺骗的过程。

ARP欺骗的种类及危害ARP欺骗（Address Resolution Protocol Spoofing）是一种网络攻击手段，它利用ARP协议的漏洞，通过伪造和欺骗的方式，将网络中其他计算机的IP地址与MAC地址映射关系篡改，从而对网络通信进行非法的监控、劫持或伪装。

ARP欺骗的种类和危害主要包括以下几个方面：1.单向ARP欺骗单向ARP欺骗是指攻击者在局域网中发送大量的伪造ARP响应报文，将受害者的IP地址与自己的MAC地址映射关系发送给网关路由器。

当局域网中其他计算机将数据包发送给受害者时，数据包会被发送至攻击者的计算机，攻击者可以对数据包进行监控、篡改或拦截。

这种攻击方式可以窃取受害者的敏感信息，如账号密码、通信内容等。

此外，在拦截数据包后，攻击者还可以利用ARP欺骗进行中间人攻击，进一步伪装成受害者与其他计算机进行通信，从而迷惑其他计算机的身份。

2.反向ARP欺骗反向ARP欺骗是指攻击者在局域网中发送大量的伪造ARP请求报文，将受害者的IP地址与攻击者的MAC地址映射关系发送给受害者。

当受害者接收到伪造的ARP请求报文后，会将自己的IP地址与攻击者的MAC地址的映射关系写入ARP缓存中，从而将其所有网络通信的数据包发送给攻击者。

这种攻击方式可以使受害者完全失去对自己通信数据的控制，攻击者可以窃取所有的数据包，并对其进行监控、篡改或拦截。

3.双向ARP欺骗总的来说，ARP欺骗的危害主要包括以下几个方面：1.数据窃取：攻击者可以窃取通过ARP欺骗获得的数据包，包括用户的账号密码、敏感信息等。

2.数据篡改：攻击者可以对数据包进行篡改，破坏数据的完整性和可信性。

3.中间人攻击：攻击者可以利用ARP欺骗将自己伪装成通信双方之一，从而窃取双方的通信内容或者篡改通信内容。

4.拒绝服务攻击：攻击者可以通过ARP欺骗使网络中的计算机无法正常通信，从而导致网络服务的不可用。

5.传播恶意软件：攻击者可以利用ARP欺骗将受害者的数据包重定向至自己的恶意服务器上，从而传播病毒、木马等恶意软件。

ARP攻击与故障排除知识ARP透视——出现ARP欺骗攻击时的现象1、网上银行、游戏及QQ账号的频繁丢失一些人为了获取非法利益，利用ARP欺骗程序在网内进行非法活动，此类程序的主要目的在于破解账号登陆时的加密解密算法，通过截取局域网中的数据包，然后以分析数据通讯协议的方法截获用户的信息。

运行这类木马病毒，就可以获得整个局域网中上网用户账号的详细信息并盗取。

2、网速时快时慢，极其不稳定，但单机进行光纤数据测试时一切正常当局域内的某台计算机被ARP的欺骗程序非法侵入后，它就会持续地向网内所有的计算机及网络设备发送大量的非法ARP欺骗数据包，阻塞网络通道，造成网络设备的承载过重，导致网络的通讯质量不稳定。

3、局域网内频繁性区域或整体掉线，重启计算机或网络设备后恢复正常当带有ARP欺骗程序的计算机在网内进行通讯时，就会导致频繁掉线，出现此类问题后重启计算机或禁用网卡会暂时解决问题，但掉线情况还会发生。

发贴者dengguo 时间：下午6:390 评论标签：ARP欺骗, ARP欺骗攻击ARP透视——传统的几种解决ARP问题的方式方案一：过滤局域网的IP，关闭高危险的端口，关闭共享。

升级系统补丁，升级杀毒软件。

安装防火墙，设置防ARP的选项。

微软ISA防火墙功能强大，可是很占系统资源。

配置服务器是Linux的强项，当然能阻止部分ARP危害网络。

但是从根本上并没有解决掉ARP的问题，长时间超负荷运转对硬件的损害也显而易见。

方案二：发现乱发ARP包的主机后，即通过路由器、硬件防火墙等设备在网关上阻止与其它主机通信。

迅速找到主机，断开其网络连接。

检查机器是因为病毒木马发送ARP包破坏网络环境，还是人为的使用ARP的网络管理软件。

既然是使用的网络管理软件，先得询问使用者是否有管理网络的特权。

既然没有特权又为何管理、控制网络呢？方案三：通过高档路由器进行双向绑定，即从路由器方面对从属客户机IP-MAC地址进行绑定，同时从客户机方面对路由器进行IP-MAC地址绑定，双向绑定让IP 不容易被欺骗。