导读

ARP欺骗（ARP spoofing），又称ARP毒化（ARP poisoning，网络上多译为ARP病毒）或ARP攻击，是针对以太网地址解析协议（ARP）的一种攻击技术。这种攻击通过欺骗局域网内访问者PC的网关MAC地址，使访问者PC错以为攻击者更改后的MAC地址是网关的MAC，导致网络不通。

01

ARP欺骗的运作原理 

ARP欺骗的运作原理是由攻击者发送假的ARP数据包到网上，尤其是送到网关上。其目的是要让送至特定的IP地址的流量被错误地送到攻击者所取代的地方。攻击者通过发送假的ARP数据包，可以篡改IP地址与MAC地址的映射关系，实现对被欺骗者的ARP欺骗。

02

ARP欺骗的运作原理分析及案例

ARP欺骗的运作原理主要涉及ARP协议的工作方式和网络通信的基本原理。ARP（地址解析协议）是一个将32位的IP地址映射到MAC地址的协议。在局域网中，主机之间通信需要知道对方的MAC地址，而ARP协议就是用来完成这个映射过程的。

在正常的网络通信中，当一台主机需要与另一台主机通信时，它会首先检查自己的ARP缓存表中是否有目标主机的IP地址和MAC地址的映射关系。如果有，就直接使用这个MAC地址进行通信；如果没有，它会发送一个ARP请求广播，询问局域网中谁拥有这个IP地址，并等待目标主机的ARP响应。目标主机收到ARP请求后，会发送一个ARP响应，包含自己的MAC地址，这样源主机就可以将目标主机的IP地址和MAC地址添加到自己的ARP缓存表中，并进行通信。

然而，在ARP欺骗攻击中，攻击者会伪造虚假的ARP响应，将自己的MAC地址与目标主机的IP地址进行映射，并发送给源主机。源主机收到这个伪造的ARP响应后，会将其添加到自己的ARP缓存表中，导致后续的通信都会发送到攻击者的主机上。这样，攻击者就可以窃取或篡改源主机与目标主机之间的通信数据。

举一个案例来说明ARP欺骗的过程：

假设局域网中有三台主机A、B和C，其中A是网关，B是合法用户，C是攻击者。当B需要与外部网络进行通信时，它会发送一个ARP请求询问网关A的MAC地址。正常情况下，网关A会发送一个包含自己MAC地址的ARP响应给B。然而，攻击者C可以伪造一个虚假的ARP响应，将自己的MAC地址与网关A的IP地址进行映射，并发送给B。B收到这个伪造的ARP响应后，会将其添加到自己的ARP缓存表中。此后，B发送给网关A的所有数据包都会被转发到攻击者C的主机上，而C则可以窃取或篡改这些数据包的内容。

03

ARP欺骗的危害

1、可以通过ARP欺骗攻击，窃取经过网络的敏感数据，如用户名、密码、银行账号等。这些数据一旦落入攻击者手中，可能导致用户隐私泄露、财产损失。

2、可以用于中间人攻击。攻击者可以拦截网络通信数据，篡改数据内容，甚至插入恶意代码，对网络进行操控。

3、利用ARP欺骗攻击，将合法用户的通信数据屏蔽或重定向到其他地方，从而造成网络拥堵，甚至导致拒绝服务的情况发生。

4、ARP欺骗会使网络出现异常，如掉线、IP冲突等。

5、访问的网页被添加了恶意内容，俗称“挂马”。

6、网络速度、网络访问行为（例如某些网页打不开、某些网络应用程序用不了）受第三者非法控制。

04

ARP欺骗的防御措施主要包括以下几个方面

1、把所有网卡的MAC地址记录下来，每个MAC和IP、地理位置统统装入数据库，以便及时查询备案。

2、在网关上建立DHCP服务器，给每个网卡绑定固定唯一IP地址。一定要保持网内的机器IP/MAC一一对应的关系。这样客户机虽然是DHCP取地址，但每次开机的IP地址都是一样的。

3、网关上面使用TCPDUMP程序截取每个ARP程序包，弄一个脚本分析软件分析这些ARP协议

。

4、在一些杀毒软件中加入了ARP防火墙的功能，它是通过在终端电脑上对网关进行绑定，保证不受网络中假网关的影响，从而保护自身数据不被窃取的措施。

5、过划分VLAN和交换机端口绑定来防范ARP，也是常用的防范方法。做法是细致地划分VLAN，减小广播域的范围，使ARP在小范围内起作 用，而不至于发生大面积影响。同时，一些网管交换机具有MAC地址学习的功能，学习完成后，再关闭这个功能，就可以把对应的MAC和端口进行绑定，避免了病毒利用ARP攻击篡改自身地址。