ARP欺骗的种类及危害

ARP欺骗，是针对以太网地址解析协议（ARP）的一种攻击技术。

此种攻击可让攻击者取得局域网上的数据封包甚至可篡改封包，且可让网络上特定计算机或所有计算机无法正常连接，对局域网的安全性与稳定性有比较强的破坏力。

ARP概念1.ARP欺骗原理：黑客C经过收到A发出的ARP Request广播报文，能够偷听到A的 (IP, MAC) 地址, 黑客C就伪装为B，告诉A (受害者) 一个假MAC地址（这个假地址是C的MAC地址），使得A在发送给B的数据包都被黑客C截取，而A, B 浑然不知。

2.欺骗种类：1、截获网关发出的数据。

欺骗源通过ARP报文通知网关一系列错误的内网MAC-IP地址关系，并按照一定的频率不断进行，使网关的ARP缓存表中不能保存正常的地址信息中，结果网关的所有数据只能发送给错误的MAC地址，造成正常PC无法收到信息。

2、伪造网关欺骗源把自己伪装成网关，向局域网内的主机发送ARP应答或免费ARP报文。

使得局域网内的主机误以为欺骗源的MAC是网关MAC地址。

使得原本流向网关的数据都被错误地发送到欺骗源。

3、伪造主机欺骗源C把自己伪装成局域网内的另一台主机B，使得局域网内发往B的报文都流向了C。

伪造主机的过程与伪造网关类似。

3.防范技术：1、在网关和主机上设备静态ARP表项，这样欺骗ARP报文携带的信息与静态表项不同，会被忽略。

仅适合于小规模局域网，不适合于DHCP。

2、在交换机上限制每个端口的ARP表项数量。

端口上仅能够学习有限数量的ARP表项。

如果设置为1，则只允许一个ARP表项被学习，伪装的MAC地址就无法通过交换机。

对上述[欺骗种类1]比较有较。

3、与DHCP结合。

DHCP snooping的过程中，会建立DHCP表项，主机的的IP以及用户MAC、VID、PORT、租约时间等信息组成用户记录表项，从而形成DHCP Snooping 的用户数据库。

DHCP可以很清楚地知道给哪个MAC分配了哪个IP。

网络安全中的ARP攻击与防御技术网络安全是当今社会亟待解决的问题之一，而ARP攻击是网络安全的一个重要方面。

ARP（Address Resolution Protocol）是在局域网中将IP地址转换为MAC地址的协议。

ARP攻击是指攻击者利用网络重放、欺骗等手段，混淆MAC地址，使数据包传输至错误的设备，从而实现非法窃取、篡改、拦截数据等目的。

本文将阐述ARP攻击的类型、危害以及防御技术。

一、ARP攻击类型1.欺骗攻击欺骗攻击是ARP攻击中最常见的一种类型。

攻击者通过伪造源MAC地址，向目标主机发送虚假的ARP响应包，欺骗其将攻击者的MAC地址误认为是网关的MAC地址，使得目标主机的所有流量都被攻击者所控制。

2.中间人攻击中间人攻击是指攻击者在通信双方之间插入自己，屏蔽双方之间的通信，可用于窃听或篡改通信内容。

攻击者通过欺骗双方主机，使得每个主机都将其MAC地址当做网关的MAC地址，从而使双方都认为它们在与网关通信，实际上却被攻击者所控制。

3.重放攻击重放攻击是指攻击者通过截获数据包，再次发送这些数据包，使得目标主机误认为这些数据包来自于合法的源地址。

攻击者可以基于此窃取敏感信息或篡改通信内容。

二、ARP攻击危害ARP攻击可以造成以下危害：1.窃取信息ARP攻击者可以通过欺骗建立中间人攻击，窃取用户账号、密码等敏感信息。

2.篡改数据攻击者可以在中间人攻击中，篡改数据包的内容，从而影响网络传输过程中数据的真实性，例如拦截传输的文件内容并进行篡改。

3.劫持会话攻击者可以在ARP攻击中，劫持用户的会话，将用户强制下线，并据此进行非法操作。

三、ARP攻击防御技术1.升级路由器固件升级路由器固件可以消除一些已知的网络安全漏洞，提高路由器安全性，从而防止一些ARP攻击。

2.使用ARP防火墙ARP防火墙是通过静态配置软件/硬件设备与网络的关系，来识别并阻断非授权设备与网络中特定子网的通信。

ARP防火墙可以防止接入局域网的恶意主机和非法服务器，以及ARP欺骗等攻击。

发送伪造的ARP报 文
攻击者通过发送伪造的ARP报文 ，将错误的MAC地址映射到正 确的IP地址上。
监听数据流
攻击者监听目标主机与其他主机 或网络之间的数据流，并获取敏 感信息。
实施攻击
攻击者可实施多种攻击手段，如 中间人攻击、会话劫持等。
03
局域网ARP欺骗攻击的防范措施
静态ARP防范措施
静态ARP绑定
实验环境及工具
01
网络拓扑
构建包括路由器、交换机、PC等设备的局域网环境。
02
硬件设备
高性能计算机、网络交换机、路由器等。
03
软件工具
snort、winshark、kali linux等抓包和分析工具。
实验过程及结果
实验设备连接
将路由器、交换机、PC等设备连接在一起，形成 一个完整的局域网络。
数据包捕获
提醒用户谨慎使用公共网络
用户在使用公共网络时需要谨慎，不轻易使用未知来源的WiFi，避免在网络中泄露个人信息。
加强安全审计
建立安全审计制度
建立完善的安全审计制度，对网络安全事件进行记录和分析，发现并防范潜 在的安全威胁。
定期审计网络设备和软件
定期审计网络设备和软件的安全性，发现并修复可能存在的安全漏洞。
ARP欺骗攻击是一种网络安全攻击 技术，攻击者通过发送伪造的ARP 报文，使局域网内的设备无法正确 地寻址，从而达到非法访问或篡改 数据的目的。
VS
ARP欺骗攻击主要利用了ARP协议 的安全漏洞，使得攻击者可以在网 络中伪装成合法设备，进而进行各 种恶意行为。
ARP欺骗攻击的危害
1 2
拒绝服务攻击
通过检测网络中的ARP报文，及时发现ARP欺骗攻击，并采取防范措施。

ARP欺骗根据欺骗对象的不用可以分为三种，
1. 只欺骗受害主机。

实施欺骗后效果如下：
2. 只欺骗路由器、网关。

实施欺骗后效果如下：
3. 双向欺骗，即前面两种欺骗方法的组合使用。

实施欺骗后的效果如下：
ARP欺骗带来的危害可以分为几大类，
1. 网络异常。

具体表现为：掉线、IP冲突等。

2. 数据窃取。

具体表现为：个人隐私泄漏（如MSN聊天记录、邮件等）、账号被盗用（如QQ账号、银行账号等）。

3. 数据篡改。

具体表现为：访问的网页被添加了恶意内容，俗称“挂马”。

4. 非法控制。

具体表现为：网络速度、网络访问行为（例如某些网页打不开、某些网络应用程序用不了）受第三者非法控制。

ARP欺骗根据发起个体的不同可以分为两类，
1. 人为攻击。

人为攻击的目的主要是：造成网络异常、窃取数据、非法控制。

2. ARP病毒。

ARP病毒不是特指某一种病毒，而是指所有包含有ARP欺骗功能的病毒的总称。

ARP病毒的目的主要是：窃取数据（盗号等）、篡改数据（挂马等）。

从目前的情况来看，ARP欺骗（不管是人为的还是ARP病毒）大多数是在网络异常后被发现的。

请注意，精心策划的人为ARP欺骗、设计良好的ARP病毒，是不会造成网络异常的，所以网络没有出现异常并不代表不存在ARP欺骗问题！。

ARP欺骗
1.

主机b向网关C发送ARP应答包说： 我是A我的MAC地址是02-02-0202-02-02，主机b同时向主机A发送 ARP应答包说：我是C我的MAC地 址是02-02-02-02-02-02 B获得A发给C的数据，修改后发给C， 同时获得C发给A的数据修改后发给 A，实现了监听过程
ARP欺骗

Arp欺骗原理
主机在实现ARP缓存表的机制中存在 一个不完善的地方，当主机收到一 个ARP的应答包后，它并不会去验证 自己是否发送过这个ARP请求，而是 直接将应答包里的MAC地址与IP对应 的关系替换掉原有的ARP缓存表里的 相应信息。这就导致主机B截取主机 A与主机D之间的数据通信成为可能
ARP攻击
1.
2.
3. 4.
5.
目前已知的ARP病毒的传播途径 通过外挂程序传播 通过网页传播 通过其他木马程序传播 通过即时通讯软件传播（QQ、 MSN） 通过共享传播（网络共享、P2P 软件共享）
ARP攻击
1. 2.
3.
4.
5.
如何预防感染ARP病毒？ 关闭不必要的共享 及时安装系统补丁程序 安装防病毒软件并及时升级病毒库 不随便运行来历不明的程序 不访问一些来历不明的链接
IP地址欺骗的影响

IP地址欺骗，也是一个非常有用 的工具，在网络的渗透和克服网 络安全保密措施。 发生这种情况 时， IP地址spoofers使用受信任 的IP地址，内部网络，从而规避 需要提供一个使用者名称或密码 登录到该系统。 这类攻击通常是 基于一组特定的主机控制（如 rhosts ）是不安全的配置。
ARP工作原理

假如主机A要与主机B通讯，它首先会检查自 己的ARP缓存中是否有192.168.1.3这个地址 对应的MAC地址，如果没有它就会向局域网 的广播地址发送ARP请求包，大致的意思是 192.168.1.3的MAC地址是什么请告诉 192.168.1.2,而广播地址会把这个请求包广 播给局域网内的所有主机，但是只有 192.168.1.3这台主机才会响应这个请求包， 它会回应192.168.1.2一个arp包，大致的意 思是192.168.1.3的MAC地址是02-02-02-0202-02。这样的话主机A就得到了主机B的 MAC地址，并且它会把这个对应的关系存在 自己的ARP缓存表中。之后主机A与主机B之 间的通讯就依靠两者缓存表里的MAC地址来 通讯了，直到通讯停止后两分钟，这个对应 关系才会被从表中删除。

ARP欺骗的原理及防治【摘要】文章介绍了ARP协议的含义和工作原理，分析了ARP欺骗的原理、网段内和跨网段ARP欺骗的实现过程、ARP欺骗的危害和现象。

最后，分别介绍了几种能够有效防御arp欺骗攻击的安全防范策略。

【关键词】ARP欺骗，MAC地址，ARP缓存表，绑定，网络安全1 ARP协议简介ARP（Address Resolution Protocol）即地址解析协议，所谓“地址解析”就是主机在发送帧前将目标IP地址（即逻辑地址）转换成目标MAC地址（即物理地址）的过程。

ARP协议的基本功能就是将逻辑地址映射为物理地址。

2 ARP协议的工作过程假设一个局域网中有三台电脑组成，该局域网由交换机（Switch）连接，三台电脑分别用A，S，D标识，上Internet 时网关IP地址为192.168.0.1，MAC 为gg-gg-gg-gg-gg-gg。

在局域网中，每台安装有TCP/IP协议的电脑里都有一个ARP缓存表，表里的IP地址与MAC地址是一一对应的。

假设以主机S要给主机D发送数据，在主机S内部，主机S要先查询自身的ARP缓存表，查看里面是否有192.168.0.4这台主机的MAC地址，如果有，就将主机D的MAC地址封装在数据包的外面，直接发送出去即可。

如果没有，这时主机S要向同一网段局域网内发送一个ARP Request 广播包。

全网络的主机都收到该ARP广播包了，包括主机A和D。

主机A一看其要查询的IP地址不是自己的，就将该数据包丢弃。

而主机D一看IP地址192.168.0.4正是自己的，则单独向主机S发送一条ARP Reply 封包应答。

3 ARP欺骗的原理ARP协议的基础就是信任局域网内所有的主机和网关，即无论局域网中任何主机，其发送的ARP数据包都是正确的。

假如有主机假冒其它主机或网关，就很容易实现在以太网上的ARP欺骗。

如在上述数据发送中，当主机S向全网询问“IP地址为192.168.0.4的主机的MAC地址是多少”后，但是当此时，主A 也作出了ARP就应答，由于主机A的不停应答，这样，主机A就劫持了由主机S发送给主机D的数据，这就是ARP欺骗的过程。

ARP欺骗的种类及危害ARP欺骗（Address Resolution Protocol Spoofing）是一种网络攻击手段，它利用ARP协议的漏洞，通过伪造和欺骗的方式，将网络中其他计算机的IP地址与MAC地址映射关系篡改，从而对网络通信进行非法的监控、劫持或伪装。

ARP欺骗的种类和危害主要包括以下几个方面：1.单向ARP欺骗单向ARP欺骗是指攻击者在局域网中发送大量的伪造ARP响应报文，将受害者的IP地址与自己的MAC地址映射关系发送给网关路由器。

当局域网中其他计算机将数据包发送给受害者时，数据包会被发送至攻击者的计算机，攻击者可以对数据包进行监控、篡改或拦截。

这种攻击方式可以窃取受害者的敏感信息，如账号密码、通信内容等。

此外，在拦截数据包后，攻击者还可以利用ARP欺骗进行中间人攻击，进一步伪装成受害者与其他计算机进行通信，从而迷惑其他计算机的身份。

2.反向ARP欺骗反向ARP欺骗是指攻击者在局域网中发送大量的伪造ARP请求报文，将受害者的IP地址与攻击者的MAC地址映射关系发送给受害者。

当受害者接收到伪造的ARP请求报文后，会将自己的IP地址与攻击者的MAC地址的映射关系写入ARP缓存中，从而将其所有网络通信的数据包发送给攻击者。

这种攻击方式可以使受害者完全失去对自己通信数据的控制，攻击者可以窃取所有的数据包，并对其进行监控、篡改或拦截。

3.双向ARP欺骗总的来说，ARP欺骗的危害主要包括以下几个方面：1.数据窃取：攻击者可以窃取通过ARP欺骗获得的数据包，包括用户的账号密码、敏感信息等。

2.数据篡改：攻击者可以对数据包进行篡改，破坏数据的完整性和可信性。

3.中间人攻击：攻击者可以利用ARP欺骗将自己伪装成通信双方之一，从而窃取双方的通信内容或者篡改通信内容。

4.拒绝服务攻击：攻击者可以通过ARP欺骗使网络中的计算机无法正常通信，从而导致网络服务的不可用。

5.传播恶意软件：攻击者可以利用ARP欺骗将受害者的数据包重定向至自己的恶意服务器上，从而传播病毒、木马等恶意软件。

ARP攻击与故障排除知识ARP透视——出现ARP欺骗攻击时的现象1、网上银行、游戏及QQ账号的频繁丢失一些人为了获取非法利益，利用ARP欺骗程序在网内进行非法活动，此类程序的主要目的在于破解账号登陆时的加密解密算法，通过截取局域网中的数据包，然后以分析数据通讯协议的方法截获用户的信息。

运行这类木马病毒，就可以获得整个局域网中上网用户账号的详细信息并盗取。

2、网速时快时慢，极其不稳定，但单机进行光纤数据测试时一切正常当局域内的某台计算机被ARP的欺骗程序非法侵入后，它就会持续地向网内所有的计算机及网络设备发送大量的非法ARP欺骗数据包，阻塞网络通道，造成网络设备的承载过重，导致网络的通讯质量不稳定。

3、局域网内频繁性区域或整体掉线，重启计算机或网络设备后恢复正常当带有ARP欺骗程序的计算机在网内进行通讯时，就会导致频繁掉线，出现此类问题后重启计算机或禁用网卡会暂时解决问题，但掉线情况还会发生。

发贴者dengguo 时间：下午6:390 评论标签：ARP欺骗, ARP欺骗攻击ARP透视——传统的几种解决ARP问题的方式方案一：过滤局域网的IP，关闭高危险的端口，关闭共享。

升级系统补丁，升级杀毒软件。

安装防火墙，设置防ARP的选项。

微软ISA防火墙功能强大，可是很占系统资源。

配置服务器是Linux的强项，当然能阻止部分ARP危害网络。

但是从根本上并没有解决掉ARP的问题，长时间超负荷运转对硬件的损害也显而易见。

方案二：发现乱发ARP包的主机后，即通过路由器、硬件防火墙等设备在网关上阻止与其它主机通信。

迅速找到主机，断开其网络连接。

检查机器是因为病毒木马发送ARP包破坏网络环境，还是人为的使用ARP的网络管理软件。

既然是使用的网络管理软件，先得询问使用者是否有管理网络的特权。

既然没有特权又为何管理、控制网络呢？方案三：通过高档路由器进行双向绑定，即从路由器方面对从属客户机IP-MAC地址进行绑定，同时从客户机方面对路由器进行IP-MAC地址绑定，双向绑定让IP 不容易被欺骗。

局域网ARP欺骗攻击及安全防范策略论文xx年xx月xx日•局域网ARP欺骗攻击概述•局域网ARP欺骗攻击的分类与特点•局域网ARP欺骗攻击的检测与防范•案例分析与实践目•总结与展望录01局域网ARP欺骗攻击概述ARP欺骗攻击是一种利用ARP协议漏洞，通过伪造IP地址和MAC地址进行欺诈攻击的网络攻击手段。

ARP欺骗攻击主要通过控制网络中的ARP表项，使得攻击者能够接收到目标设备的所有网络流量，进而窃取敏感信息或进行恶意攻击。

ARP欺骗攻击的定义现象在局域网中，如果某台设备被成功实施ARP欺骗攻击，攻击者将可以获取该设备的全部网络流量，包括用户的账号密码、敏感数据等信息。

危害ARP欺骗攻击会导致用户隐私泄露、敏感数据被窃取、网络服务被篡改或阻断等严重后果，给用户的网络安全带来极大威胁。

ARP欺骗攻击现象与危害02局域网ARP欺骗攻击的分类与特点基于嗅探（Sniffing）的ARP欺骗攻击攻击者通过使用嗅探器来监听网络中的数据包，并捕获其中ARP请求或响应消息，然后假冒被攻击机器或网络设备的身份，制造ARP欺骗攻击。

基于注入（Injection）的ARP欺骗攻击攻击者通过向网络中注入伪造的ARP消息，使被攻击机器或网络设备接收错误的信息，从而实施ARP欺骗攻击。

攻击者将目标对准某一台机器，通过制造ARP欺骗攻击，使该机器无法正常与网络通信，造成网络服务中断或数据泄露等危害。

对网络设备的攻击攻击者将目标对准网络设备，如路由器、交换机等，通过制造ARP欺骗攻击，使网络设备工作异常，从而导致整个网络服务中断或数据传输受阻等危害。

03局域网ARP欺骗攻击的检测与防范通过监控网络流量和用户行为，检测是否存在ARP欺骗攻击的异常行为，如频繁发送ARP请求或响应，或同一IP地址对应多个MAC地址等。

异常行为检测正常情况下，ARP请求和响应的时延相对稳定，而ARP欺骗攻击时，由于多了中间环节，响应时间会变长。

因此，可以设定阈值，对超出正常范围的响应时间进行报警。

先来说说ARP协议。

ARP，全称地址解析协议，它是用来将网络层的IP地址解析为链路层的物理地址的一种协议。

简单点说，就是通过ARP协议，我们的计算机能够知道其他计算机在网络中的位置。

不过，正因为ARP协议的这个特性，也让它成为了黑客们常用的攻击手段。

言归正传，下面我就来给大家详细介绍ARP防护解决方案。

一、ARP欺骗攻击的原理及危害ARP欺骗攻击，顾名思义，就是黑客通过伪造ARP响应包，欺骗目标主机或者网络设备的一种攻击方式。

攻击者伪造ARP响应包，将自己的MAC地址伪装成目标主机的MAC地址，从而使得目标主机将数据包发送给攻击者。

这样一来，攻击者就可以截获目标主机与其他设备之间的通信数据，甚至还可以篡改数据内容，达到攻击目的。

1.数据泄露：攻击者截获通信数据，可能导致敏感信息泄露。

2.网络中断：攻击者篡改数据内容，可能导致网络通信中断。

3.网络滥用：攻击者利用ARP欺骗，可以实现网络资源的非法占用，甚至进行网络攻击。

二、ARP防护解决方案1.采用静态ARP表静态ARP表，就是手动配置ARP表项，指定IP地址与MAC地址的映射关系。

这样一来，即使攻击者伪造ARP响应包，也无法修改静态ARP表项。

不过，这种方法适用于网络规模较小、设备较少的环境，对于大型网络来说，配置和管理静态ARP表项是一项艰巨的任务。

2.采用ARP欺骗防护设备（1）实时监测ARP请求和响应包。

（2）自动识别并阻断ARP欺骗攻击。

（3）记录攻击行为，便于后续调查。

3.采用安全策略（1）限制ARP请求的发送频率，防止ARP洪泛攻击。

（2）限制ARP响应包的传播范围，防止ARP欺骗攻击。

（3）对内网设备进行安全审计，防止内部攻击。

4.采用加密通信对于敏感数据，采用加密通信可以防止数据被截获和篡改。

目前常用的加密通信方式有SSL/TLS、IPSec等。

网络安全是一项长期而艰巨的任务，我们需要时刻保持警惕，不断提高自己的安全防护能力。

希望这篇文章能够给大家带来一些启发，让我们一起为网络安全保驾护航！注意事项：1.及时更新静态ARP表静态ARP表虽然安全，但管理起来挺头疼的。

ARP欺骗技术及防范技术关键词：arp；欺骗；原理；危害；防范arp是一个位于tcp/ip协议栈中的低层协议，负责将某个ip地址解析成对应的mac地址。

当一个基于tcp/ip的应用程序需要从一台主机发送数据给另一台主机时，它把信息分割并封装成包，附上目的主机的ip地址。

然后，寻找ip地址到实际mac地址的映射，这需要发送arp广播消息。

当arp找到目的主机mac地址后，就可以形成待发送帧的完整以太网帧头。

最后，协议栈将ip包封装到以太网帧中进行传送。

一、什么是“arp欺骗”以及“arp欺骗”的原理什么是arp欺骗：从影响网络连接通畅的方式来看，arp欺骗分为二种，一种是对路由器arp表的欺骗；另一种是对内网pc的网关欺骗。

arp欺骗的原理：1、对路由器arp表的欺骗——原理是截获网关数据。

它通知路由器一系列错误的内网mac地址，并按照一定的频率不断进行，使真实的地址信息无法通过更新保存在路由器中，结果路由器的所有数据只能发送给错误的mac地址，造成正常pc无法收到信息。

2、对内网pc的网关欺骗——原理是伪造网关。

它的原理是立假网关，让被它欺骗的pc向假网关发数据，而不是通过正常的路由器途径上网。

在pc看来，就是上不了网了，即“网络掉线了”。

二、检查“ arp 欺骗”检查本机的“arp欺骗”木马染毒进程按住键盘上的ctrl+alt+del打开“任务管理器”，选择“进程”标签。

查看其中是否有一个名为“ mir0.dat ”的进程。

如果有，则说明已经中毒。

右键点击此进程后选择“结束进程”。

检查网内感染“ arp 欺骗”木马染毒的计算机（1）下载anti arp sniffer软件保护本地计算机正常运行。

同时把此软件设为“自动启动”，步骤：先把antiarp.exe生成桌面快捷方式->选”开始”->“程序”->双击”启动”->再把桌面antiarp.exe快捷键拷到”启动”中，以保证下次开机自动运行，起到保护的作用。

ＡＲＰ欺骗原理及ARP欺骗1、ＡＲＰ欺骗原理要想了解ARP欺骗攻击的原理，首先就要了解什么是ARP协议。

ARP是地址转换协议（Address Resolution Protocol）的英文缩写，它是一个链路层协议，工作在OSI模型的第二层，在本层和硬件接口间进行联系，同时对上层（网络层）提供服务。

我们知道二层的以太网交换设备并不能识别32位的IP地址，它们是以48位以太网地址（就是我们常说的MAC 地址）传输以太网数据包的。

也就是说IP数据包在局域网内部传输时并不是靠IP地址而是靠MAC地址来识别目标的，因此IP地址与MAC地址之间就必须存在一种对应关系，而ARP协议就是用来确定这种对应关系的协议。

ARP工作时，首先请求主机会发送出一个含有所希望到达的IP地址的以太网广播数据包，然后目标IP的所有者会以一个含有IP和MAC 地址对的数据包应答请求主机。

这样请求主机就能获得要到达的IP地址对应的MAC地址，同时请求主机会将这个地址对放入自己的ARP表缓存起来，以节约不必要的ARP通信。

ARP缓存表采用了老化机制，在一段时间内如果表中的某一行没有使用（windows系统这个时间为2分钟），就会被删除，这样可以大大减少ARP缓存表的长度，加快查询速度。

2、什么是ARP欺骗？在了解ARP协议后再来看看什么是ARP欺骗，它的目的又是什么？通过上面的例子我们知道了在以太局域网内数据包传输依靠的是MAC地址，IP地址与MAC对应的关系依靠ARP表，每台主机（包括网关）都有一个ARP缓存表。

在正常情况下这个缓存表能够有效的保证数据传输的一对一性，也就是说主机A与主机D之间的通讯只通过网关C和网关E，象主机B之类的是无法截获A与D之间的通讯信息的。

但是主机在实现ARP缓存表的机制中存在一个不完善的地方，当主机收到一个ARP的应答包后，它并不会去验证自己是否发送过这个ARP请求，而是直接将应答包里的MAC地址与IP对应的关系替换掉原有的ARP缓存表里的相应信息。

ARP欺骗攻击详解ARP（地址解析协议）是在仅知道主机的IP地址时确定其物理地址的⼀种协议。

因IPv4和以太⽹的⼴泛应⽤，其主要⽤作将IP 地址翻译为以太⽹的MAC地址，但其也能在ATM和FDDI IP⽹络中使⽤。

本⽂将为⼤家详细剖析ARP欺骗，它主要分为双向欺骗和单向欺骗。

⼀、ARP通讯协议过程由于局域⽹的⽹络流通不是根据IP地址进⾏，⽽是按照MAC地址进⾏传输、计算机是根据mac来识别⼀台机器。

区域⽹内A要向主机B发送报⽂，会查询本地的ARP缓存表，找到B的IP地址对应的MAC地址后，就会进⾏数据传输。

如果未找到，则A⼴播⼀个ARP请求报⽂（携带主机B的IP地址）,⽹上所有主机包括B都收到ARP请求，但只有主机B识别⾃⼰的IP 地址，于是向A主机发回⼀个ARP响应报⽂。

其中就包含有B的MAC地址，A接收到B的应答后，就会更新本地的ARP缓存。

接着使⽤这个MAC地址发送数据（由⽹卡附加MAC地址)。

⼆、⼀次完整的ARP欺骗ARP 欺骗分为两种，⼀种是双向欺骗，⼀种是单向欺骗:1.单向欺骗A的地址为：IP：192.168.10.1 MAC: AA-AA-AA-AA-AA-AAB的地址为：IP：192.168.10.2 MAC: BB-BB-BB-BB-BB-BBC的地址为：IP：192.168.10.3 MAC: CC-CC-CC-CC-CC-CCA和C之间进⾏通讯.但是此时B向A发送⼀个⾃⼰伪造的ARP应答，⽽这个应答中的数据为发送⽅IP地址是192.168.10.3（C的IP地址），MAC地址是BB-BB-BB-BB-BB-BB（C的MAC地址本来应该是CC-CC-CC-CC-CC-CC，这⾥被伪造了）。

当A接收到B伪造的ARP应答，就会更新本地的ARP缓存（A被欺骗了），这时B就伪装成C了。

同时，B同样向C发送⼀个ARP应答，应答包中发送⽅IP地址四192.168.10.1（A的IP地址），MAC地址是BB-BB-BB-BB-BB-BB（A的MAC地址本来应该是AA-AA-AA-AA-AA-AA），当C收到B伪造的ARP应答，也会更新本地ARP缓存（C也被欺骗了），这时B就伪装成了A。

ARP欺骗的种类及危害ARP欺骗（Address Resolution Protocol spoofing），也称为ARP攻击，是一种网络安全攻击技术。

通过ARP欺骗，攻击者可以欺骗网络中的主机，使其将数据发送到错误的目的地，从而窃取信息或者造成网络瘫痪。

ARP欺骗可以分为以下几种类型，每种类型都有其特定的危害。

1. 单播欺骗（Unicast Spoofing）：单播欺骗是最常见的ARP攻击类型之一、攻击者发送伪造的ARP请求，欺骗局域网内的主机将其自己的ARP缓存表中的IP地址与攻击者的MAC地址进行绑定。

这样，当局域网内的主机要发送数据时，数据包会被发送到攻击者的主机，并且攻击者可以窃取、篡改或者阻断这些数据。

2. 双播欺骗（Black Spoofing）：双播欺骗是一种高级ARP攻击技术。

攻击者发送伪造的ARP响应包，欺骗本地网络中的主机和路由器，将他们的IP地址与攻击者的MAC地址进行绑定。

这种攻击方式可以使得网络中的所有主机和路由器都认为攻击者的主机是正确的目的地，从而导致网络完全瘫痪。

3. 无响应欺骗（Silent Spoofing）：无响应欺骗是一种较为隐蔽的ARP攻击技术。

攻击者通过不发送任何ARP响应包，直接向目标主机发送伪造的ARP请求包，欺骗目标主机将其自己的IP地址与攻击者的MAC地址进行绑定。

这样，攻击者就可以窃取目标主机的信息或者篡改其数据包而不被察觉。

4. 重定向攻击（Redirect Attack）：重定向攻击是一种特殊形式的ARP攻击，常用于中间人攻击。

攻击者通过发送伪造的ARP响应包，将目标主机与默认网关的IP地址与自己的MAC地址进行绑定。

这样，当目标主机要发送数据包时，数据包会被重定向到攻击者的主机上，攻击者可以窃取、篡改或者注入数据。

1.信息窃取：ARP欺骗使得攻击者可以窃取网络中的敏感信息，例如用户名、密码、信用卡信息等。

攻击者可以通过修改数据包，使得受害者不知情地将敏感信息发送给攻击者。

ARP欺骗在网络中的应用及防范ARP欺骗在网络中的应用及防范一、ARP协议的内容和工作原理地址解析协议（Address Resolution Protocol,ARP）是在只知道主机IP地址时确定其物理地址的一种协议。

因IPv4、IPv6和以太网的广泛应用，其主要用于将IP地址翻译为以太网的MAC地址，但其也能在ATM和FDDI IP网络中使用。

从IP地址到物理地址的映射有两种方式：表格方式和非表格方式。

ARP具体说来就是将网络层（IP层，也就是相当于OSI的第三层）地址解析为数据连接层（MAC 层，也就是相当于OSI的第二层）的MAC地址。

首先，每台主机都会在自己的ARP缓冲区中建立一个ARP映射表，以表示IP地址和MAC地址的对应关系。

当源主机需要将一个数据包要发送到目的主机时，会首先检查自己ARP列表中是否存在该IP 地址对应的MAC地址，如果有，就直接将数据包发送到这个MAC地址；如果没有，就向本地网段发起一个ARP 请求的广播包，查询此目的主机对应的MAC地址。

此ARP请求数据包里面包括源主机的IP地址、源主机的MAC地址以及目的主机的IP地址、目的MAC地址。

同一网段中所有的主机收到这个ARP请求后，会检查数据包中的目的IP是否和自己的IP地址一致。

如果不相同就丢弃此数据包；如果相同，该主机首先将发送端的MAC地址和IP地址添加到自己的ARP映射表中，如果ARP映射表中已经存在该IP的信息，则将其覆盖，然后以单播的形式给源主机发送一个ARP响应数据包，告诉对方自己是它需要查找的MAC地址；源主机收到这个ARP响应数据包后，将得到目的主机的IP地址和MAC地址并添加到自己的ARP映射表中，并利用此信息开始数据的传输。

如果源主机一直没有收到ARP响应数据包，表示ARP查询失败。

二、ARP协议存在的安全漏洞ARP协议是建立在信任局域网内所有节点的基础上的，它很高效，但却不安全。

其主要漏洞有以下三点：１、主机地址映射表是基于高速缓存、动态更新的，ARP将保存在高速缓存中的每一个映射地址项目都设置了生存时间，它只保存最近的地址对应关系。

博达交换机ARP欺骗和攻击的防范1、概述1.1 ARP攻击日益严重近来，ARP欺骗和攻击问题日渐突出，尤其是在校园网这种大型网络。

严重者甚至造成大面积网络不能正常访问外网，学校和类似学校的大型网络是深受其害。

根据ARP欺骗和攻击的特点，本文给出了有效的防ARP欺骗和攻击解决方案。

要解决ARP欺骗和攻击问题，首先必须了解ARP欺骗和攻击的类型和原理，以便于更好的防范和避免ARP欺骗和攻击的带来的危害。

1.2 ARP协议的工作原理ARP协议是用来提供一台主机通过广播一个ARP请求来获取相同网段中另外一台主机或者网关的MAC的协议。

以相同网段中的两台主机A、B来举例，其ARP协议运行的主要交互机制如下：1、如果A需要向B发起通信，A首先会在自己的ARP缓存表项中查看有无B 的ARP表项。

如果没有，则进行下面的步骤：2、A在局域网上广播一个ARP请求，查询B的IP地址所对应的MAC地址;3、本局域网上的所有主机都会收到该ARP请求;4、所有收到ARP请求的主机都学习到了A所对应的ARP表项;如果B收到该请求，则发送一个ARP应答给A,告知A自己的MAC地址，其他主机收到A的ARP请求后，发现其目的IP地址不是自己，则会丢弃，但会保存主机A的ARP信息，以便后续通信;5、主机A收到B的ARP应答后,会在自己的ARP缓存中写入主机B的ARP表项.如上所述，利用ARP协议，可以实现相同网段内的主机之间正常通信或者通过网关与外网进行通信。

但由于ARP协议是基于网络中的所有主机或者网关都为可信任的前提制定。

导致在ARP协议中没有认证的机制，从而导致针对ARP协议的欺骗攻击非常容易。

1.3 ARP欺骗和攻击的类型目前ARP欺骗和攻击中有如下三种类型。

我们根据影响范围和出现频率分别介绍如下：1.3.1 网关冒充ARP病毒通过发送错误的网关MAC对应关系给其他受害者，导致其他终端用户不能正常访问网关。

这种攻击形式在校园网中非常常见。

ARP攻击，是指攻击者利用地址解析协议本身的运行机制而发动的攻击行为。

包括进行对主机发动IP冲突攻击、数据包轰炸，切断局域网上任何一台主机的网络连接等。

主要有以盗取数据为主要目的的ARP欺骗攻击，还有以捣乱破坏为目的的ARP泛洪攻击两种。

IP地址冲突制造出局域网上有另一台主机与受害主机共享一个IP的假象。

由于违反了唯一性要求，受害主机会自动向用户弹出警告对话框。

大量的攻击数据包能令受害主机耗费大量的系统资源。

对于windows操作系统，只要接收到一个ARP数据包，不管该ARP数据包符不符合要求，只要该ARP数据包所记录的源ip地址同本地主机相同但MAC地址不同，wind ows系统就会弹出ip地址冲突的警告对话框。

根据ip地址冲突的攻击特征描述，这种类型的ARP攻击主要有以下几种：（1）单播型的IP地址冲突：链路层所记录的目的物理地址为被攻击主机的物理地址，这样使得该ARP数据包只能被受攻击主机所接收而不被局域网内的其它主机所接收实现隐蔽式攻击。

（2）广播型的IP地址冲突：链路层所记录的目的物理地址为广播地址，这样使得局域网内的所有主机都会接受到该ARP数据包，虽然该ARP数据包所记录的目的ip地址不是受攻击主机的ip地址，但是由于该ARP数据包为广播数据包，这样受攻击主机也会接收到从而弹出ip地址冲突的警告对话框。

ARP泛洪攻击攻击主机持续把伪造的MAC-IP映射对发给受害主机，对于局域网内的所有主机和网关进行广播，抢占网络带宽和干扰正常通信。

这种攻击方式的主要攻击特征包含：（1）通过不断发送伪造的ARP广播数据报使得交换机拼于处理广播数据报耗尽网络带宽。

（2）令局域网内部的主机或网关找不到正确的通信对象，使得正常通信被阻断。

（3）用虚假的地址信息占满主机的ARP高速缓存空间，造成主机无法创建缓存表项，无法正常通信，这种攻击特征作者将其命名为ARP溢出攻击。

ARP泛洪攻击不是以盗取用户数据为目的，它是以破坏网络为目的，属于损人不利己的行为。