什么是ARP攻击？

ARP攻击是利用ARP协议设计时缺乏安全验证漏洞来实现的，通过伪造ARP数据包来窃取合法用户的通信数据，造成影响网络传输速率和盗取用户隐私信息等严重危害。

ARP攻击原理

ARP病毒及木马程序利用ARP的安全缺陷实现对网络的攻击。

网络中有A、B、C三台主机，主机A与主机B正常通信，主机C进入网络，开始实施ARP欺骗。首先，主机C给主机A发一个ARP应答报文，报文显示主机B的IP地址映射主机C的MAC，主机A收到这个报文，更新自己的ARP缓存表，修改主机B的IP地址对应的MAC。这样，其后主机A发往主机B的数据包均会发给主机C。如果主机C不转发该数据包到主机B，则主机B认为与主机A的通信发生故障，而主机A无法察觉。如果主机C转发数据包到主机B，则主机B与主机A之间的通信不受影响，仅仅是主机C监听到主机A到主机B的数据包。

同理，主机C发ARP应答报文欺骗主机B，则主机B发往主机A的数据包被主机C监听。

ARP攻击类型

根据ARP攻击的危害，可分为欺骗型和破坏型两类。实际网络中欺骗型攻击有三种：

1. 一种是局域网主机冒充网关欺骗网内主机，导致主机访问网关的数据包均发往欺骗主机，局域网内主机无法正常上网。
2. 另一种是欺骗网关，修改网关的ARP表项，导致网关到主机的数据包无法到达正确主机。
3. 第三种是主机对主机的欺骗，导致正常主机之间通信中断。

攻击者冒充网关欺骗主机，使用户正常发往网关的数据流发至攻击者，导致用户无法访问外部网络。

攻击者冒充普通用户欺骗网关，使网关到用户的数据流无法到达正确用户。

攻击者冒充用户欺骗用户，使正常用户之间通信中断。

破坏型攻击也称为ARP泛洪攻击。攻击者伪造大量虚假ARP报文，对局域网内所有主机和网关进行广播，干扰正常通信。

防御技术

1.主机级被动检测

当系统接收到来自局域网上的ARP请求时，系统检查该请求发送端的IP地址是否与自己的IP地址相同。如果相同，则说明该网络上另有一台机器与自己具有相同的IP地址。

2.主机级主动检测

主机定期向所在局域网发送查询自己IP地址的ARP请求报文。如果能够收到另一ARP响应报文，则说明该网络上另
有一台机器与自己具有相同的IP地址。

3.服务器级检测

当服务器收到ARP响应时，为了证实它的真实性，根据反向地址解析协议(RARP)就用从响应报文中给出的MAC地址再生成一个RARP请求，它询问这样一个问题：“如果你是这个MAC地址的拥有者，请回答你的IP地址”。这样就会查询到这个MAC地址对应的IP地址，比较这两个IP地址，如果不同，则说明对方伪造了ARP响应报文。

4.网络级检测

配置主机定期向中心管理主机报告其ARP缓存的内容。这样中心管理主机上的程序就会查找出两台主机报告信息的不一致，以及同一台主机前后报告内容的变化。这些情况反映了潜在的安全问题。或者利用网络嗅探工具连续监测网络内主机硬件地址与IP地址对应关系的变化。

感谢您的阅读，喜欢的话就转发并关注小编吧。

上一篇：「网络安全」常见攻击篇（22）——DHCP攻击

下篇预告：「网络安全」常见攻击篇（24）——泪滴攻击 敬请关注