1、ARP欺騙攻擊技術及其防范方法 什么是ARP協議 要想了解ARP欺騙攻擊的原理，首先就要了解什么是ARP協議。ARP是地址轉換協議的英文縮寫，它是一個鏈路層協議，工作在OSI模型的第二層，在本層和硬件接口間進行聯系，同時為上層（網絡層）提供服務。 我們知道，二層的以太網交換設備并不能識別32位的IP地址，它們是以48位以太網地址（就是我們常說的MAC地址）傳輸以太網數據包的。因此IP地址與MAC地址之間就必須存在一種對應關系，而ARP協議就是用來確定這種對應關系的協議。 ARP工作時，首先請求主機發送出一個含有所希望到達的IP地址的以太網廣播數據包，然后目標IP的所有者會以一個含有IP和MAC

2、地址對的數據包應答請求主機。這樣請求主機就能獲得要到達的IP地址對應的MAC地址，同時請求主機會將這個地址對放入自己的ARP表緩存起來，以節約不必要的ARP通信。ARP緩存表采用了老化機制，在一段時間內如果表中的某一行沒有使用（Windows系統這個時間為2分鐘，而Cisco路由器的這個時間為5分鐘），就會被刪除。通過下面的例子我們可以很清楚地看出ARP的工作機制。 假定有如下五個IP地址的主機或者網絡設備，它們分別是： 通過上面的例子我們知道，在以太局域網內數據包傳輸依靠的是MAC地址，IP地址與MAC對應的關系依靠ARP表，每臺主機（包括網關）都有一個ARP緩存表。在正常情況下這個緩存表能

3、夠有效保證數據傳輸的一對一性，像主機B之類的是無法截獲A與D之間的通信信息的。 但是主機在實現ARP緩存表的機制中存在一個不完善的地方，當主機收到一個ARP的應答包后，它并不會去驗證自己是否發送過這個ARP請求，而是直接將應答包里的MAC地址與IP對應的關系替換掉原有的ARP緩存表里的相應信息。這就導致主機B截取主機A與主機D之間的數據通信成為可能。 因此簡單點說，ARP欺騙的目的就是為了實現全交換環境下的數據監聽。大部分的木馬或病毒使用ARP欺騙攻擊也是為了達到這個目的。如何發現及清除 局域網內一旦有ARP的攻擊存在，會欺騙局域網內所有主機和網關，讓所有上網的流量必須經過ARP攻擊者控制的主

4、機。其他用戶原來直接通過網關上網，現在卻轉由通過被控主機轉發上網。由于被控主機性能和程序性能的影響，這種轉發并不會非常流暢，因此就會導致用戶上網的速度變慢甚至頻繁斷線。另外ARP欺騙需要不停地發送ARP應答包，會造成網絡擁塞。 一旦懷疑有ARP攻擊我們就可以使用抓包工具來抓包，如果發現網內存在大量ARP應答包，并且將所有的IP地址都指向同一個MAC地址，那么就說明存在ARP欺騙攻擊，并且這個MAC地址就是用來進行ARP欺騙攻擊的主機MAC地址，我們可以查出它對應的真實IP地址，從而采取相應的控制措施。另外，我們也可以到路由器或者網關交換機上查看IP地址與MAC地址的對應表，如果發現某一個MAC對應了大量的IP地址，那么也說明存在ARP欺騙攻擊，同時通過這個MAC地址查出用來ARP欺騙攻擊的主機在交換機上所對應的物理端口，從而進行控制。如何防范？ 我們可以采取以下措施防范ARP欺騙。 （1）在客戶端使用arp命令綁定網關的真實MAC地址命令如下： arp (先清除錯誤的ARP表) （2）在交換機上做端口與MAC地址的靜態綁定。 （3）在路由器上做IP地址與MAC地址的靜態綁定。 （4）使用“ARP SERVER”按一定的時間間隔廣播網段內所有主機的正確IP-MAC映射表。 （5）最主要是要提高用戶的安全意識，養成良好的