ARP欺骗与防御手段

格式：doc
大小：194.00 KB
文档页数：15

下载文档原格式

局域网ARP地址欺骗攻击与防御

五、出现ＡＲＰ地址欺骗攻击的解决办法
当一旦发现有攻击者利用Ａ协议漏洞进行地址欺骗时，ＲＰ我们也可以利用Ａ病毒的基本原理通过下面方法快速检测并定位出局域网中的哪些ＲＰ机器在进行Ａ地址欺骗攻击，定中毒电脑。ＲＰ锁１命令行法．当局域网中发生ＡＲ欺骗的时候，Ｐ攻击者会向全网不停地发送ＡＲＰ欺骗广播，时局域网中的其他电脑就会动态更新自身的ＡＲ这Ｐ缓存表，网关将的ＭＡＣ地址记录成攻击者的ＭＡＣ地址。时我们可以使用Ｃ此ＭＤ命令提示窗口中 “ ＡＲＰａ－ ”命令查询当前网关的ＭＡＣ地址，可知道攻击者的就
成网络设备承载过重，网络不稳定。导致网速会时陕时漫，至频繁掉线，甚用户频繁断网，浏览器频繁出错， Ⅲ 以及一些常用软件出现故障等。
Ａ欺骗只需成功感染一台电脑，就可能导致整个局域网都无法上网，严重的甚至可能带来整个网络的瘫痪。除此之外，一些人为了获取非法利益，利用Ａ欺骗程序破解账号登陆时的加密解密算法，过截取局域网中的数ＲＰ通据包，析数据通讯协议来截获整个局域网中上网用户账号的详细信息，分给用
击者找出来。找到攻击者后，即可利用杀毒软件或手动将攻击程序删除。
六、结束语
由于ＡＲ￣．定时间比较早，时对这些协议缺陷考虑不周，使得ＰＮＹ制当Ａ攻击的破坏陛比较大，共也有局限性，，Ｐ击只局限在本地网ＲＰ但比￣ＡＲ攻络环境中，最根本的解决措施就是使用Ｉｖ协议。ＡＲＰ击爆发的时候，Ｐ６在攻可能会用到其中一种方案，或者多种，是不管用到哪一种，但只要能解决问题，

ARP欺骗原理分析与攻防实战演练PPT课件

2.配置 (1)全局下配置启用dhcp snooping 并指定需要侦听的vlan ip dhcp snooping ip dhcp snooping vlan 1-3 (2)对与uplink上联端口或接dhcp服务器的接口上配置为信任端口 int f0/24 ip dhcp snooping trust (3)对于接dhcp客户端的pc的交换机端口上配置 int range f0/1-2 no ip dhcp snooping trust //缺省就是非信任端口 ip dhcp snooping limit rate 10 //10pps 最多每秒只收10个dhcp请求报问（4）查看命令 show ip dhcp snooping binding 作用：为了防止ip地址欺骗，可配置在二层交换机的端口上过滤非法的ip地址
目录
ARP欺骗的危害什么是ARP协议 ARP欺骗的原理 ARP攻防实战 ARP安全防范
第1页
ARP欺骗的危害
ARP欺骗可以造成内部网络的混乱，让某些被欺骗的计算机无法正常访问内外网，让网关无法和客户端正常通信。实际上他的危害还不仅仅如此，一般来说IP地址的冲突我们可以通过多种方法和手段来避免，而ARP协议工作在更低层，隐蔽性更高。系统并不会判断ARP缓存的正确与否，无法像IP地址冲突那样给出提示。而且很多黑客工具例如网络剪刀手等，可以随时发送ARP欺骗数据包和ARP恢复数据包，这样就可以实现在一台普通计算机上通过发送ARP数据包的方法来控制网络中任何一台计算机的上网与否，甚至还可以直接对网关进行攻击，让所有连接网络的计算机都无法正常上网。这点在以前是不可能的，因为普通计算机没有管理权限来控制网关，而现在却成为可能，所以说ARP欺骗的危害是巨大的，而且非常难对付，非法用户和恶意用户可以随时发送ARP欺骗和恢复数据包，这样就增加了网络管理员查找真凶的难度。那么难道就没有办法来阻止ARP欺骗问题的发生吗？

宽带网络中的ARP欺骗攻击如何防范

宽带网络中的ARP欺骗攻击如何防范宽带网络的普及和发展，使得人们在日常生活中享受到了更快速、更稳定的网络连接。

然而，网络攻击也趁机出现，并带来了一系列的安全隐患。

其中，ARP欺骗攻击是一种常见的网络攻击手段，它主要通过篡改网络中的ARP协议，导致信息被劫持或篡改。

那么，在面对这类攻击时，我们应该如何有效地进行防范呢？一、了解ARP欺骗攻击的原理和方式在部署防范措施之前，我们需要先了解ARP欺骗攻击的原理和方式。

ARP，即地址解析协议，用于将IP地址转换成相应的物理MAC 地址，以实现网络通信。

而ARP欺骗攻击则是通过伪造ARP响应或请求，篡改网络中的ARP表，从而使得通信数据被劫持或导向攻击者指定的目标。

主要方式包括以下几种：1. ARP欺骗攻击攻击者向目标主机发送虚假ARP响应或请求，将目标主机的IP地址与攻击者的MAC地址绑定，使得通信数据被劫持到攻击者的计算机上进行监控或篡改。

2. 中间人攻击攻击者通过欺骗网络中的两个通信主体，将自己插入其中，从而实现对两者之间通信的监听和篡改。

这种方式常被用于窃取敏感信息、篡改网页内容等目的。

3. DNS缓存攻击攻击者通过篡改DNS服务器的ARP表，将正常的DNS服务器指向攻击者的计算机，使得用户在浏览器中输入正常的网址时，被重定向到攻击者伪造的网站上。

二、加强网络设备的安全设置为了防范ARP欺骗攻击，我们可以从网络设备的安全设置入手，采取以下措施：1. 关闭无线网络的广播功能如果你的网络使用无线连接，关闭无线网络的广播功能可以减少攻击者通过监听无线网络来进行ARP欺骗攻击的风险。

2. 修改默认的管理密码网络设备默认的管理密码通常是攻击者容易猜测到的，因此我们应该及时修改这些密码，并定期更新，以增加设备的安全性。

3. 开启安全认证功能多数网络设备都提供了一些安全认证功能，如MAC地址过滤、WPA或WEP加密等。

通过开启这些功能，可以限制连接到网络设备的设备数量，增加安全性。

论文局域网ARP欺骗攻击及安全防范策略

发送伪造的ARP报文
攻击者通过发送伪造的ARP报文，将错误的MAC地址映射到正确的IP地址上。
监听数据流
攻击者监听目标主机与其他主机或网络之间的数据流，并获取敏感信息。
实施攻击
攻击者可实施多种攻击手段，如中间人攻击、会话劫持等。
03
局域网ARP欺骗攻击的防范措施
静态ARP防范措施
静态ARP绑定
实验环境及工具
01
网络拓扑
构建包括路由器、交换机、PC等设备的局域网环境。
02
硬件设备
高性能计算机、网络交换机、路由器等。
03
软件工具
snort、winshark、kali linux等抓包和分析工具。
实验过程及结果
实验设备连接
将路由器、交换机、PC等设备连接在一起，形成一个完整的局域网络。
数据包捕获
提醒用户谨慎使用公共网络
用户在使用公共网络时需要谨慎，不轻易使用未知来源的WiFi，避免在网络中泄露个人信息。
加强安全审计
建立安全审计制度
建立完善的安全审计制度，对网络安全事件进行记录和分析，发现并防范潜在的安全威胁。
定期审计网络设备和软件
定期审计网络设备和软件的安全性，发现并修复可能存在的安全漏洞。
ARP欺骗攻击是一种网络安全攻击技术，攻击者通过发送伪造的ARP 报文，使局域网内的设备无法正确地寻址，从而达到非法访问或篡改数据的目的。
VS
ARP欺骗攻击主要利用了ARP协议的安全漏洞，使得攻击者可以在网络中伪装成合法设备，进而进行各种恶意行为。
ARP欺骗攻击的危害
1 2
拒绝服务攻击
通过检测网络中的ARP报文，及时发现ARP欺骗攻击，并采取防范措施。

ARP攻击原理与防御措施

ARP攻击原理与防御措施
ARP攻击是指攻击者发送虚假ARP响应或请求，欺骗目标计算机或路由器的ARP缓存，并将合法的IP地址映射到攻击者的MAC地址上。

攻击者可以通过这种方法获得目标计算机或路由器的网络数据，甚至可以修改或监视网络通信。

针对ARP攻击，以下是常见的几种防御措施：
1. 使用静态ARP表
静态ARP表是管理员手动配置的IP地址与MAC地址的映射表。

通过使用静态ARP表，可以限制ARP缓存中的IP地址与MAC地址映射关系，防止攻击者通过发送虚假ARP响应或请求来欺骗计算机。

ARP监控工具可以监视网络中的ARP通信，并警告管理员有任何异常的ARP通信。

这些工具可以检测虚假的ARP响应或请求，并更改ARP缓存中的条目，从而保护网络安全。

3. 使用虚拟专用网络（VPN）
虚拟专用网络（VPN）可以使通过公用网络传输的数据变得更加安全。

VPN将数据加密并隧道化，使攻击者无法截获传输的数据。

由于VPN使用自己的加密和身份验证，ARP攻击无法通过普通的攻击方法来窃取VPN传输的数据。

4. 配置网络设备的安全设置
配置路由器、交换机等网络设备的安全设置是防范ARP攻击的重要措施。

这些设备通常具有流量分析、IP地址过滤和MAC地址过滤等功能。

管理员可以使用这些功能，过滤掉来自未经授权的设备的数据流量，从而增加网络的安全性。

总之，防范ARP攻击需要采取多样化的措施，并在网络安全方面加强教育和培训。

通过加强了解计算机中的网络协议和安全性，使用多层次的安全措施，保护计算机和网络的安全。

ARP攻击防范与解决方案

ARP攻击防范与解决方案一、背景介绍ARP（地址解析协议）是在局域网中解决IP地址和MAC地址之间映射关系的协议。

然而，ARP协议的设计缺陷导致了ARP攻击的出现。

ARP攻击是一种常见的网络安全威胁，攻击者通过发送伪造的ARP响应包来篡改网络中的ARP缓存表，从而实现中间人攻击、拒绝服务攻击等恶意行为。

为了保护网络安全，我们需要采取相应的防范与解决方案。

二、防范ARP攻击的措施1. 使用静态ARP表静态ARP表是一种手动配置的ARP表，将IP地址和MAC地址的映射关系固定在ARP表中，可以有效防止ARP缓存污染攻击。

管理员可以根据网络拓扑结构手动添加ARP表项，并定期检查和更新。

2. 使用ARP欺骗检测工具ARP欺骗检测工具可以实时监测网络中的ARP请求和响应，检测是否存在异常的ARP活动。

当检测到ARP欺骗行为时，可以及时发出警报并采取相应的防御措施。

3. 使用静态ARP绑定静态ARP绑定是将特定IP地址和MAC地址的映射关系绑定在ARP表中，使得ARP缓存表中的映射关系不易被篡改。

管理员可以手动配置静态ARP绑定，确保网络中重要主机的ARP映射关系的安全性。

4. 使用网络入侵检测系统（IDS）网络入侵检测系统可以实时监测网络流量，检测是否存在异常的ARP活动。

当检测到ARP攻击行为时，可以自动触发警报，并采取相应的防御措施，如断开与攻击者的连接。

5. 使用虚拟局域网（VLAN）虚拟局域网可以将网络划分为多个逻辑上的独立网络，不同的VLAN之间无法直接通信，从而有效隔离了网络流量，减少了ARP攻击的风险。

三、解决ARP攻击的方法1. 及时更新操作系统和网络设备的补丁厂商会定期发布针对操作系统和网络设备的安全补丁，这些补丁通常包含了对已知漏洞的修复。

及时安装这些补丁可以有效减少ARP攻击的风险。

2. 使用网络流量监测工具网络流量监测工具可以实时监测网络流量，检测是否存在异常的ARP活动。

当检测到ARP攻击行为时，可以及时发出警报并采取相应的解决措施。

arp欺骗概念

arp欺骗概念
ARP欺骗（Address Resolution Protocol spoofing）是一种网络
攻击手段，通过欺骗网络中的设备，使其将数据发送到错误的目的地。

ARP是一种用于将IP地址映射到物理MAC地址的
协议，用于在局域网中确定数据包的目标地址。

ARP欺骗攻击者通常会发送伪造的ARP响应消息，欺骗目标
设备将数据包发送到错误的MAC地址。

这可能导致目标设备
无法与正确的网络资源通信，或将数据包发送到攻击者控制的恶意地址。

ARP欺骗攻击的目的包括：
- 拦截网络通信：攻击者可以捕获、监视、修改或篡改目标设
备和网络资源之间的通信。

- 中间人攻击：攻击者可以作为中间人，从而截获目标设备和
网络资源之间的通信，并进行恶意操作，例如窃取敏感信息。

- DoS攻击：通过将目标设备的数据包发送到一个无效的地址，可以导致目标设备无法正常访问网络资源，从而造成拒绝服务（Denial of Service）攻击。

为了防止ARP欺骗攻击，可以采取以下措施：
- 使用静态ARP表：在网络设备中手动配置静态ARP表，将
IP地址与MAC地址形成纯粹的映射关系，不受ARP请求的
影响。

- 使用ARP防火墙：部署ARP防火墙来监视和筛选ARP请求
和响应，阻止伪造的ARP消息。

- 使用网络监控工具：使用网络监控工具来检测和识别可能的
ARP欺骗攻击，并采取相应的措施应对。

总之，ARP欺骗是一种利用ARP协议的漏洞，对网络安全构成威胁的攻击手段。

采取适当的防护措施可以提高网络的安全性。

ARP欺骗攻击与防护介绍

ARP 协议简单的说就是通过IP 查找对应的MAC 地址，IP 只是一个逻辑地址，而MAC 才是网络设备的物理地址，只有找到真正的地址（物理地址），才能进行数据传输（百度百科的ARP 词条）。

ARP 是通过发送ARP 广播包通知别的主机自己是谁（通知别人某个IP 对应的是某个MAC ）ARP 协议简单的说就是通过IP 查找对应的MAC 地址，IP 只是一个逻辑地址，而MAC 才是网络设备的物理地址，只有找到真正的地址（物理地址），才能进行数据传输（百度百科的ARP 词条）。

ARP 是通过发送ARP 广播包通知别的主机自己是谁（通知别人某个IP 对应的是某个MAC ），如果发送的信息包含有意的不正确IP 与MAC 地址对应关系，则会影响接收方对网络地址识别的正确性，这就是ARP 欺骗，说白了就是不让IP 与正确的MAC 地址建立关联，从而使数据发送到错误的地点，造成的后果有数据被窃听或劫持（劫持就是不还给你），再通俗的说，就是上不了网或上错网，再或者和别人“一起”上网。

一般情况下遭遇ARP 欺骗上不了网时，重启电脑或用命令arp -d 清空ARP 缓存表后会暂时正常，但很快又恢复原样（再次遭受攻击），因此可以借此判断一下是否遭遇到ARP 欺骗，而不是光看所谓的ARP 防火墙在叫嚣“ARP 欺骗攻击”。

另外如果你是家庭用户，只有你一个人上网，而不是象公司单位那样通过局域网上网的，则一般情况下是不会有ARP 欺骗攻击的，即使万里有一碰上了，那么要解决的话，需要找你的宽带提供商，即使他不承认，请相信这时受影响的绝不会只有你一户，将是一个相当大的网络故障。

如果你家里也有几台电脑一起共享上网（如通过路由器），理论上是存在ARP 欺骗的可能，不过，只有几台电脑的话，检查起来也很方便，大不了一台一台拔出网线检查，所以共享上网的电脑数越少，中招的可能性越小，检查的难度都低。

对于ARP 欺骗的防护，除了大量相关的防ARP 欺骗的防火墙与杀毒工具外，简单的方法就是绑定网卡、网关的IP 与MAC 地址，如用arp -s ip mac 命令绑定（斜体字符需用实际的值代替，下同），注意这个绑定关系将在电脑重启后失效，除非再次绑定，或将此命令写成批处理文件并加入启动项，本机MAC 地址可以通过ipconfig/all 命令查得，至于网关的MAC ，可以在未中毒前ping 一下网关，然后用arp -a 命令获知（当然如果你能直接查到更好）。

ARP欺骗攻击分析及防范措施

ARP欺骗攻击分析及防范措施ARP欺骗攻击（Address Resolution Protocol Spoofing Attack），也称为ARP缓存中毒攻击，是一种常见的网络攻击手段。

攻击者通过伪造ARP响应报文，将目标主机的IP地址与自己的MAC地址进行绑定，从而达到劫持网络流量、盗取敏感信息或进行中间人攻击等恶意目的。

本文将对ARP欺骗攻击进行分析，并提出相应的防范措施。

一、攻击原理分析1.ARP协议简介ARP（Address Resolution Protocol）是将IP地址与MAC地址进行匹配的协议，通过在局域网中的广播方式，发送ARP请求报文，等待目标主机响应，以获取目标主机的MAC地址。

目标主机接收到ARP请求后，会将自己的MAC地址发送给请求方，请求方在收到响应后将目标主机的IP地址与MAC地址进行绑定，并将其存储在自己的ARP缓存表中。

2.攻击原理在ARP欺骗攻击中，攻击者通过发送伪造的ARP响应报文，将目标主机的IP地址与自己的MAC地址进行绑定。

当目标主机收到该伪造的ARP响应报文后，会将攻击者的MAC地址存储到自己的ARP缓存表中。

然后，当其他主机需要与目标主机进行通信时，会将数据包发送给攻击者的MAC地址，攻击者可以拦截和篡改这些数据包，导致网络流量被劫持。

二、攻击过程分析1.发送ARP请求攻击者首先发送ARP请求报文，向网络中的所有主机请求目标主机的MAC地址。

这是一个广播的过程，所有主机都会收到该ARP请求报文。

2.伪造ARP响应目标主机收到ARP请求后，会根据请求方的IP地址将自己的MAC地址发送给请求方。

攻击者利用这个过程，伪造一个ARP响应报文，并将报文中的目标IP地址设为请求主机的IP地址，源MAC地址设为自己的MAC 地址。

3.欺骗目标主机目标主机收到伪造的ARP响应报文后，会将其中的目标IP地址与MA 地址进行绑定，并将其存储在ARP缓存表中。

此时，目标主机认为攻击者的MAC地址就是目标主机的MAC地址。

ARP攻击与防护措施及解决方案

关键技术
采用ARP检测、ARP缓存保护、动态ARP检测等技术手段。
关键技术应用及选型建议
ARP检测技术
实时监测网络中的ARP请求和响应，及时发现异常流量。
动态ARP检测技术
结合网络流量分析和主机行为检测，动态识别ARP攻击。
ARP缓存保护技术
保护主机ARP缓存不被恶意修改，确保通信正确性。
发现并及时修复网络设备的安全漏洞，防止攻击者利用漏洞进行攻击。
03
主机系统安全防护措施
操作系统安全加固方法
及时更新补丁
定期更新操作系统补丁，修复已知漏洞，提高系统安全性。
管理员权限控制
严格限制管理员权限，避免滥用和误操作带来的安全风险。
最小化安装原则
仅安装必要的操作系统组件和应用程序，减少攻击面。
ARP泛洪等攻击可能导致网络设备无法正常工作，造成整个网络瘫痪。
主机安全
影响业务
ARP欺骗等攻击可能导致目标主机被恶意控制，进而对主机进行各种恶意操作，如安装木马、病毒等。
ARP攻击可能对企业或个人的正常业务造成严重影响，如无法访问互联网、无法进行正常的网络通信等。
02
网络设备安全防护措施
加强跨平台、跨设备的协同防护能力
03
针对不同操作系统、不同设备之间的协同防护问题，
加强技术研发和合作，提高整体防护能力。
THANKS
感谢观看
原理
ARP攻击者发送伪造的ARP响应包，将目标主机的IP地址与攻击者的MAC地址进行绑定，导致目标主机在访问网络时，数据流量被重定向到攻击者控制的主机上，进而窃取或篡改目标主机的数据。
常见ARP攻击类型
1 2 3
ARP欺骗

1、下载文档前请自行甄别文档内容的完整性，平台不提供额外的编辑、内容补充、找答案等附加服务。
2、"仅部分预览"的文档,不可在线预览部分如存在完整性等问题,可反馈申请退款(可完整预览的文档不适用该条件!)。
3、如文档侵犯您的权益，请联系客服反馈,我们会尽快为您处理(人工客服工作时间：9:00-18:30)。

神州数码网络公司客户服务中心第1页，共15页 ARP欺骗与防御手段神州数码网络公司神州数码网络公司客户服务中心

第2页，共15页目录 1. ARP欺骗 .................................................................................................................................. 3 1.1. ARP协议工作原理 ...................................................................................................... 3 1.2. ARP协议的缺陷 .......................................................................................................... 3 1.3. ARP协议报文格式 ...................................................................................................... 4 1.4. ARP攻击的种类 .......................................................................................................... 5 1.4.1. ARP网关欺骗 .................................................................................................. 5 1.4.2. ARP主机欺骗 .................................................................................................. 6 1.4.3. 网段扫描 ........................................................................................................... 8 神州数码网络公司客户服务中心

第3页，共15页 1. ARP欺骗

在与用户的沟通过程中，感觉到用户的网络管理人员最头痛也是频繁出现的问题就是ARP的病毒攻击问题。在一个没有防御的网络当中暴发的ARP病毒带来的影响是非常严重的，会造成网络丢包、不能访问网关、IP地址冲突等等。多台设备短时间内发送大量ARP报文还会引起设备的CPU利用率上升，严重时可能会引起核心设备的宕机。如何解决ARP攻击的问题呢？首先要从ARP攻击的原理开始分析。

1.1. ARP协议工作原理在TCP/IP协议中，每一个网络结点是用IP地址标识的，IP地址是一个逻辑地址。而在以太网中数据包是靠48位MAC地址（物理地址）寻址的。因此，必须建立IP地址与MAC地址之间的对应（映射）关系，ARP协议就是为完成这个工作而设计的。 TCP/IP协议栈维护着一个ARP cache表，在构造网络数据包时，首先从ARP表中找目标IP对应的MAC地址，如果找不到，就发一个ARP request广播包，请求具有该IP地址的主机报告它的MAC地址，当收到目标IP所有者的ARP reply后，更新ARP cache。ARP cache有老化机制。

1.2. ARP协议的缺陷 ARP协议是建立在信任局域网内所有结点的基础上的，它很高效，但却不安全。它是无状态的协议，不会检查自己是否发过请求包，也不管（其实也不知道）是否是合法的应答，只要收到目标MAC是自己的ARP reply包或arp广播包（包括ARP request和ARP reply），都会接受并缓存。这就为ARP欺骗提供了可能，恶意节点可以发布虚假的ARP报文从而影响网内结点的通信，甚至可以做“中间人”。神州数码网络公司客户服务中心

第4页，共15页 1.3. ARP协议报文格式

6 6 2 2 2 目地MAC地址源MAC地址帧类型硬件类型协议类型 1 1 2 6 4 硬件地址长度协议地址长度类型发送端MAC地址发送端IP地址 6 4 接收端MAC地址接收端IP地址

报文的前两个字段分别为目地MAC地址和源MAC地址，长度共12个字节。当报文中，目地MAC地址为全1（FF:FF:FF:FF:FF:FF）时候，代表为二层广播报文。同一个广播域的主机均会收到。第三个字段是帧类型，长度2个字节。对于ARP报文，这个字段的值为“0806”。接下来两个2字节的字段表示硬件地址类型和对应映射的协议类型。硬件地址类型值为“0001”代表以太网地址。协议类型值为“0800”代表IP地址。后跟两个1字节的字段表示硬件地址长度和协议地址长度。这两个字段具体数值分别为“6”和“4”代表硬件地址长度使用6字节表示和协议地址长度使用4字节表示。类型字段，长度2个字节。这个字段的值表示出ARP报文属于那种操作。ARP请求（值为“01”，ARP应答（值为“02”），RARP请求（值为“03”）和RARP应答（值为“04”）。最后四个字段为发送端MAC地址、发送端IP地址、接收端MAC地址、接收端IP地址。（其中，发送端MAC地址与字段2的源MAC地址重复。）神州数码网络公司客户服务中心

第5页，共15页 1.4. ARP攻击的种类

针对ARP攻击的不同目地，可以把ARP攻击分为网关欺骗、主机欺骗、MAC地址扫描几类。下面分析一下每种ARP攻击使用的方法和报文格式。

1.4.1. ARP网关欺骗在ARP的攻击中，网关欺骗是一种比较常见的攻击方法。通过伪装的ARP Request报文或Reply报文到修改PC机网关的MAC-IP对照表的目地。造成PC机不能访问网关，将本应发向网关的数据报文发往被修改的MAC地址。网关欺骗的报文格式：

主要参数： Destination Address ：00:0B:CD:61:C1:26 （被欺骗主机的MAC地址） Source Address ：00:01:01:01:01:01 （网关更改的虚假MAC地址） Type ： 1 （ARP的请求报文） Source Physics ：00:01:01:01:01:01 Source IP ：211.68.199.1 Destination Physics ：00:0B:CD:61:C1:26 Destination IP ：211.68.99.101 神州数码网络公司客户服务中心第6页，共15页按上面的格式制作的数据包会对MAC地址为00:0B:CD:61:C1:26的主机发起网关欺骗，将这台PC机的网关211.68.199.1对应的MAC地址修改为00:01:01:01:01:01这个伪装的MAC地址。可以看到，上面这个网关欺骗的报文为单播ARP请求报文（Reply类同，在此不做详细介绍）。直接针对目地主机。对于这样的报文，唯有将它在进入端口的时候丢弃，才能保证网络当中的PC机不会受到这样的攻击。

1.4.2. ARP主机欺骗 ARP主机欺骗的最终目地是修改PC机或交换机设备的MAC表项。将原本正确的表项修改为错误的MAC地址。最终导致PC机不能访问网络。 ARP主机欺骗可以使用单播报文实现也可以使用广播报文实现。使用单播报文：

主要参数： Destination Address ：00:10:C6:DD:A6:28 （被欺骗主机的MAC地址） Source Address ：00:01:01:01:01:01 （101更改的虚假MAC地址） Type ： 2 （ARP的应答报文） Source Physics ：00:01:01:01:01:01 Source IP ：211.68.199.101 Destination Physics ：00:10:C6:DD:A6:28 神州数码网络公司客户服务中心第7页，共15页 Destination IP ：211.68.99.103 这个单播报文会导致211.68.199.103这台PC机将本机MAC表中的211.68.199.101对应的MAC地址更改为00:01:01:01:01:01这个错误的IP地址。导致103发往101的数据包发到一个错误的地址。广播报文：

主要参数： Destination Address ：FF:FF:FF:FF:FF:FF （全FF的广播地址） Source Address ：00:01:01:01:01:01 （广播的虚假MAC地址） Type ： 1 （ARP的请求报文） Source Physics ：00:01:01:01:01:01 Source IP ：211.68.199.101 Destination Physics ：00:00:00:00:00:00 Destination IP ：211.68.99.103 这个数据包表面上类似于正常的ARP请求报文，目地地址为全F的广播，接收端的MAC地址为全0的未知地址。意义为IP为101的PC机寻找IP为103的PC机的MAC地址。但当把报文中的两个源MAC地址修改为一个错误的MAC地址之后。这种报文就会引起全网PC机及交换机将211.68.199.101这台PC机的MAC地址修改为00:01:01:01:01:01这个错误的IP地址。