ARP欺骗攻击实例与防范技术

ARP欺骗，是针对以太网地址解析协议（ARP）的一种攻击技术。

此种攻击可让攻击者取得局域网上的数据封包甚至可篡改封包，且可让网络上特定计算机或所有计算机无法正常连接，对局域网的安全性与稳定性有比较强的破坏力。

ARP概念1.ARP欺骗原理：黑客C经过收到A发出的ARP Request广播报文，能够偷听到A的 (IP, MAC) 地址, 黑客C就伪装为B，告诉A (受害者) 一个假MAC地址（这个假地址是C的MAC地址），使得A在发送给B的数据包都被黑客C截取，而A, B 浑然不知。

2.欺骗种类：1、截获网关发出的数据。

欺骗源通过ARP报文通知网关一系列错误的内网MAC-IP地址关系，并按照一定的频率不断进行，使网关的ARP缓存表中不能保存正常的地址信息中，结果网关的所有数据只能发送给错误的MAC地址，造成正常PC无法收到信息。

2、伪造网关欺骗源把自己伪装成网关，向局域网内的主机发送ARP应答或免费ARP报文。

使得局域网内的主机误以为欺骗源的MAC是网关MAC地址。

使得原本流向网关的数据都被错误地发送到欺骗源。

3、伪造主机欺骗源C把自己伪装成局域网内的另一台主机B，使得局域网内发往B的报文都流向了C。

伪造主机的过程与伪造网关类似。

3.防范技术：1、在网关和主机上设备静态ARP表项，这样欺骗ARP报文携带的信息与静态表项不同，会被忽略。

仅适合于小规模局域网，不适合于DHCP。

2、在交换机上限制每个端口的ARP表项数量。

端口上仅能够学习有限数量的ARP表项。

如果设置为1，则只允许一个ARP表项被学习，伪装的MAC地址就无法通过交换机。

对上述[欺骗种类1]比较有较。

3、与DHCP结合。

DHCP snooping的过程中，会建立DHCP表项，主机的的IP以及用户MAC、VID、PORT、租约时间等信息组成用户记录表项，从而形成DHCP Snooping 的用户数据库。

DHCP可以很清楚地知道给哪个MAC分配了哪个IP。

防止arp欺骗木马病毒小案例一．Arp病毒简介近期，一种新的“ARP欺骗”木马病毒（比如：传奇盗号的软件，某些传奇外挂中也被恶意加载了此程序）在互联网上扩散，不少客户局域网中都已发现机器感染此病毒，表现为用户频繁断网、线路严重丢包，IE浏览器频繁出错以及一些常用软件出现故障等问题。

Arp欺骗原理要谈ARP欺骗，首先要说一下arp的运行机制，通常主机发送一个ip包之前，它要到自己的ARP缓存表中寻找是否有目标主机的IP地址，如果找到了，也就知道了目标主机的MAC地址，然后直接发送；如果没有找到，该主机就发送一个ARP广播包目标MAC地址是“FF.FF.FF.FF.FF.FF”，这表示向同一网段内的所有主机发出这样的询问：“xxx.xxx.xxx.xx1的MAC地址是什么？”ip为xxx.xxx.xxx.xx1的主机响应这个广播，应答ARP广播为：“我是xxx.xxx.xxx.xx1,我的mac为xxxxxxxxxx2"这样，主机A就知道了主机B的MAC地址，可以通信了。

同时它还更新了自己的ARP缓存表，下次再向主机B发送信息时，可以直接在ARP缓存表里查找。

ARP缓存表采用了老化机制，在一段时间内如果表中的某一行没有使用，就会被删除，这样可以大大减少ARP缓存表的长度，加快查询速度。

当我们设定一个目标进行ARP欺骗时，也就是设置一主机C捕获主机A发送给主机B 的通信数据包，如果C能够接收到A发送的数据包，那么第一步嗅探成功了。

但是主机A 并没有意识到主机B没有接受到主机A发送的数据包。

假如主机C进行ICMP重定向，那么他可以直接进行整个包的修改，捕获到主机A发送给主机B的数据包，全部进行修改后再转发给主机B，而主机B接收到的数据包完全认为是从主机A发送来的。

这样主机C就完成了ARP欺骗。

中毒现象当某台主机中了这类ARP欺骗的病毒/木马程序后，会不定期发送仿冒的ARP响应数据报文。

这种报文会欺骗所在网段的主机和交换机，让其他用户上网的流量必须经过病毒主机。

arp欺骗实验报告
ARP欺骗实验报告
在网络安全领域，ARP欺骗是一种常见的攻击手段，用于窃取网络通信数据或
者对网络进行破坏。

为了更好地了解ARP欺骗的原理和危害，我们进行了一系
列的ARP欺骗实验。

实验一：ARP欺骗原理
首先，我们对ARP协议进行了深入的研究，了解了ARP欺骗的原理。

ARP协议是用于将IP地址映射到MAC地址的协议，而ARP欺骗则是指攻击者发送虚假
的ARP响应，欺骗目标主机将其通信数据发送到攻击者的机器上，从而实现窃
取数据或者中间人攻击的目的。

实验二：ARP欺骗的危害
在实验中，我们模拟了一次ARP欺骗攻击，并观察了其对网络的影响。

我们发现，一旦发生ARP欺骗，目标主机会将其通信数据发送到攻击者的机器上，导
致数据泄露和网络通信的混乱。

此外，ARP欺骗还可能导致网络中断或者恶意
软件的传播，给网络安全带来严重的威胁。

实验三：防范ARP欺骗的方法
为了防范ARP欺骗攻击，我们测试了一些常见的防御方法，包括静态ARP绑定、ARP监控和网络流量分析等。

我们发现，这些方法可以有效地防止ARP欺骗攻击，保护网络通信的安全和稳定。

总结：ARP欺骗是一种常见的网络攻击手段，具有严重的危害。

通过本次实验，我们更加深入地了解了ARP欺骗的原理和危害，以及防范ARP欺骗的方法，为网络安全的保护提供了重要的参考和指导。

希望我们的实验报告能够对网络安
全研究和实践提供有益的启示。

防止同网段arp攻击典型配置案例华为三康技术有限公司Huawei-3Com Technologies Co., Ltd.版权所有侵权必究All rights reserved修订记录Revision Record1阻止仿冒网关IP的arp攻击 (4)1.1二层交换机 (4)1.1.1配置组网 (4)1.1.2防攻击配置举例 (4)1.2三层交换机 (5)1.2.1配置组网 (5)1.2.2防攻击配置举例 (5)2仿冒他人IP的arp攻击 (6)1 阻止仿冒网关IP的arp攻击1.1 二层交换机1.1.1 配置组网100.1.1.4/24100.1.1.2/24图13552P是三层设备，其中ip：100.1.1.1是所有pc的网关，3552P上的网关mac地址为000f-e200-3999。

PC-B上装有arp攻击软件。

现在需要对3026_A进行一些特殊配置，目的是过滤掉仿冒网关IP的arp报文。

1.1.2 防攻击配置举例对于二层交换机如3026c等支持ACL number为5000到5999的交换机，可以配置acl 来进行报文过滤。

（1）全局配置deny 所有源IP是网关的arp报文（自定义规则）ACL num 5000rule 0 deny 0806 ffff 24 64010101 ffffffff 40rule 1 permit 0806 ffff 24 000fe2003999 ffffffffffff 34rule0目的：把整个3026C_A端口冒充网关的ARP报文禁掉，其中蓝色部分64010101是网关ip地址的16进制表示形式：100.1.1.1=64010101。

rule1目的：把上行口的网关ARP报文允许通过，蓝色部分为网关3552的mac地址000f-e200-3999。

注意配置Rule时的配置顺序，上述配置为先下发后生效的情况。

在S3026C-A系统视图下发acl规则：[S3026C-A]packet-filter user-group 5000这样只有3026C_A上连设备能够下发网关的ARP报文，其它pc就不能发送假冒网关的arp响应报文。

ARP攻击防范与解决方案一、背景介绍ARP（地址解析协议）是在局域网中解决IP地址和MAC地址之间映射关系的协议。

然而，ARP协议的设计缺陷导致了ARP攻击的出现。

ARP攻击是一种常见的网络安全威胁，攻击者通过发送伪造的ARP响应包来篡改网络中的ARP缓存表，从而实现中间人攻击、拒绝服务攻击等恶意行为。

为了保护网络安全，我们需要采取相应的防范与解决方案。

二、防范ARP攻击的措施1. 使用静态ARP表静态ARP表是一种手动配置的ARP表，将IP地址和MAC地址的映射关系固定在ARP表中，可以有效防止ARP缓存污染攻击。

管理员可以根据网络拓扑结构手动添加ARP表项，并定期检查和更新。

2. 使用ARP欺骗检测工具ARP欺骗检测工具可以实时监测网络中的ARP请求和响应，检测是否存在异常的ARP活动。

当检测到ARP欺骗行为时，可以及时发出警报并采取相应的防御措施。

3. 使用静态ARP绑定静态ARP绑定是将特定IP地址和MAC地址的映射关系绑定在ARP表中，使得ARP缓存表中的映射关系不易被篡改。

管理员可以手动配置静态ARP绑定，确保网络中重要主机的ARP映射关系的安全性。

4. 使用网络入侵检测系统（IDS）网络入侵检测系统可以实时监测网络流量，检测是否存在异常的ARP活动。

当检测到ARP攻击行为时，可以自动触发警报，并采取相应的防御措施，如断开与攻击者的连接。

5. 使用虚拟局域网（VLAN）虚拟局域网可以将网络划分为多个逻辑上的独立网络，不同的VLAN之间无法直接通信，从而有效隔离了网络流量，减少了ARP攻击的风险。

三、解决ARP攻击的方法1. 及时更新操作系统和网络设备的补丁厂商会定期发布针对操作系统和网络设备的安全补丁，这些补丁通常包含了对已知漏洞的修复。

及时安装这些补丁可以有效减少ARP攻击的风险。

2. 使用网络流量监测工具网络流量监测工具可以实时监测网络流量，检测是否存在异常的ARP活动。

当检测到ARP攻击行为时，可以及时发出警报并采取相应的解决措施。

A R P欺骗一、A R P欺骗原理：在TCP/IP网络环境下，一个IP数据包到达目的地所经过的网络路径是由路由器根据数据包的目的IP地址查找路由表决定的，但IP地址只是主机在网络层中的地址，要在实际的物理链路上传送数据包，还需要将IP数据包封装到MAC帧后才能发送到网络中。

同一链路上的哪台主机接收这个MAC帧是依据该MAC帧中的目的MAC地址来识别的，即除了同一链路上将网卡置为混杂模式的主机外，只有当某台主机的MAC地址和链路中传输的MAC帧的目的MAC地址相同时，该主机才会接收这个MAC帧并拆封为IP数据包交给上层模块处理。

因此，每一台主机在发送链路层数据帧前都需要知道同一链路上接收方的MAC地址，地址解析协议ARP正是用来进行IP地址到MAC地址的转换的。

同时为了避免不必要的ARP 报文查询，每台主机的操作系统都维护着一个ARP高速缓存ARP Cache，记录着同一链路上其它主机的IP地址到MAC地址的映射关系。

ARP高速缓存通常是动态的，该缓存可以手工添加静态条目，由系统在一定的时间间隔后进行刷新。

ARP协议虽然是一个高效的数据链路层协议，但作为一个局域网协议，它是建立在各主机之间相互信任的基础上的，所以ARP协议存在以下缺陷：ARP高速缓存根据所接收到的ARP协议包随时进行动态更新；ARP协议没有连接的概念，任意主机即使在没有ARP请求的时候也可以做出应答；ARP协议没有认证机制，只要接收到的协议包是有效的，主机就无条件的根据协议包的内容刷新本机ARP缓存，并不检查该协议包的合法性。

因此攻击者可以随时发送虚假ARP包更新被攻击主机上的ARP缓存，进行地址欺骗或拒绝服务攻击。

针对交换机根据目的MAC地址来决定数据包转发端口的特点，ARP欺骗的实现：假设主机C为实施ARP欺骗的攻击者，其目的是截获主机B和主机A之间的通数据，且主机C在实施ARP欺骗前已经预先知道A和B的IP地址。

这时C先发送ARP包获得主机B的MAC地址，然后向B 发送ARP Reply数据包，其中源IP地址为A的IP地址，但是源MAC地址却是主机C的MAC地址。