arp攻擊原理與arp欺騙的原理和應用

簡介：網絡管理員維護階段需要處理各種各樣的故障，出現最多的故障就是網絡通信出現的問題。除物理原因外，出現這種現象一般是由ARP攻擊或ARP欺騙導致的。
無論是ARP攻擊還是ARP欺騙都是通過偽造ARP應答來實現的。

arp攻擊原理與arp欺騙的原理

（01）arp攻擊的原理一般情況,arp攻擊得到主要目的是使網絡無法正常通信,主要包括一下兩種行為。1.攻擊主機制造假的arp應答,併發送給局域網中除被攻擊之外的所有主機。arp應答中包含被    攻擊主機的IP地址和虛假的MAC地址。2.攻擊主機制造假的arp應答,併發送給被攻擊的主機,arp應答中包含除被攻擊攻擊主機之外的所有主機的IP地址和虛假的MAC地址。3.只要執行上訴arp攻擊行為中的一種就可以實現被攻擊主機和其他主機無法通信.例如:如果希望被攻擊主機無法訪問互聯網,就需要對網關發送或被攻擊主機發送虛假的arp應答。當網關接受到虛假的ARP應答跟新ARP條目後,如果網關再發送數據給pcl時,就會發送到虛假的MAC地址導致通信故障。4.某些arp病毒會向局域網中的所有主機發送ARP應答,其中包含網關IP地址和虛假的MAC地址。局域網中的主機收到ARP應答跟新ARP表後,就無法和網關正常通信,導致無法訪問互聯網。

（02）ARP欺騙的原理1.一般情況下,ARP欺騙並不是使網絡無法正常通信,而是通過冒充網關或其他主機使得到達網關或主機的流量通過攻擊進行轉發。通過轉發流量可以對流量進行控制和查看,從而控制流量或得到機密信息。欺騙發送arp應答給局域網中其他的主機,其中包含網關的IP地址和進行ARP欺騙的主機MAC地址;並且也發送了ARP應答給網關,其中包含局域網中所有主機的IP地址和進行arp欺騙的主機MAC地址。當局域網中主機和網關收到ARP應答跟新ARP表後,主機和網關之間的流量就需要通過攻擊主機進行轉發。冒充主機的過程和冒充網關相同。

處理ARP故障/解決ARP故障的方法有兩種

（01）第一種解決方法處理ARP欺騙攻擊最一般的方法就是IP-MAC綁定，可以在客户端主機和網關路由器上雙向綁定IP-MAC來避免ARP欺騙導致無法上網。1、在主機上綁定網關路由器的IP和MAC地址，可以通過“arp -S”命令實現。2、在網關路由器上綁定主機的IP地址和MAN地址，可以通過如下命令實現。如果要查看配置結果，可以通過命令“show ip arp”來實現。3、這時候網絡中如果有ARP病毒發作，或者是用户使用類似網絡管理等軟件便無法欺騙局域網中的主機了。另外，大部分ARP病毒或類似的欺騙軟件都是使用假的IP和MAC發送欺騙報文，所以，可在交換急上配置IP-MAC-Prot的綁定，是交換機丟棄這些欺騙報文，從而防止其全網泛洪，如下圖所以：此時，假設主機B繼續使用假的IP、MAC發送欺騙報文，交換機將檢測到在f0/3收到與之不匹配的數據報文，並將其立刻丟掉。這種方法的缺點在於:如果網絡中的節點數很多，在路由器和交換機上的配置量便會隨之增多；而且網絡中如果採用DHCP動態分配IP地址，一旦主機（尤其是一些筆記本用户）的IP地址發生變化，將直接導致該主機無法訪問網絡。

（02）第二種解決方法1、使用ARP防火牆，自動抵禦ARP欺騙和ARP攻擊。2、在主機上開啟ARP防火牆，防火牆的主界面顯示統計數據，包括：ARP協議收發數據包的統計、攔截ARP攻擊的統計、自動綁定IP/MAC地址，網關等。