arp攻擊原理與arp欺騙的原理和應用

簡介：網絡管理員維護階段需要處理各種各樣的故障，出現最多的故障就是網絡通信出現的問題。除物理原因外，出現這種現象一般是由ARP攻擊或ARP欺騙導致的。
無論是ARP攻擊還是ARP欺騙都是透過僞造ARP應答來實現的。

arp攻擊原理與arp欺騙的原理

（01）arp攻擊的原理一般情況,arp攻擊得到主要目的是使網絡無法正常通信,主要包括一下兩種行爲。1.攻擊主機制造假的arp應答,併發送給局域網中除被攻擊之外的所有主機。arp應答中包含被攻擊主機的IP位址和虛假的MAC地址。2.攻擊主機制造假的arp應答,併發送給被攻擊的主機,arp應答中包含除被攻擊攻擊主機之外的所有主機的IP位址和虛假的MAC地址。3.只要執行上訴arp攻擊行爲中的一種就可以實現被攻擊主機和其他主機無法通信.例如:如果希望被攻擊主機無法訪問互聯網,就需要對網關發送或被攻擊主機發送虛假的arp應答。當網關接受到虛假的ARP應答跟新ARP條目後,如果網關再發送數據給pcl時,就會發送到虛假的MAC地址導致通信故障。4.某些arp病毒會向局域網中的所有主機發送ARP應答,其中包含網關IP位址和虛假的MAC地址。局域網中的主機收到ARP應答跟新ARP表後,就無法和網關正常通信,導致無法訪問互聯網。

（02）ARP欺騙的原理1.一般情況下,ARP欺騙並不是使網絡無法正常通信,而是透過冒充網關或其他主機使得到達網關或主機的流量透過攻擊進行轉發。透過轉發流量可以對流量進行控制和檢視,從而控制流量或得到機密資訊。欺騙發送arp應答給局域網中其他的主機,其中包含網關的IP位址和進行ARP欺騙的主機MAC地址;並且也發送了ARP應答給網關,其中包含局域網中所有主機的IP位址和進行arp欺騙的主機MAC地址。當局域網中主機和網關收到ARP應答跟新ARP表後,主機和網關之間的流量就需要透過攻擊主機進行轉發。冒充主機的過程和冒充網關相同。

處理ARP故障/解決ARP故障的方法有兩種

（01）第一種解決方法處理ARP欺騙攻擊最一般的方法就是IP-MAC綁定，可以在客戶端主機和網關路由器上雙向綁定IP-MAC來避免ARP欺騙導致無法上網。1、在主機上綁定網關路由器的IP和MAC地址，可以透過“arp -S”命令實現。2、在網關路由器上綁定主機的IP位址和MAN地址，可以透過如下命令實現。如果要檢視配置結果，可以透過命令“show ip arp”來實現。3、這時候網絡中如果有ARP病毒發作，或者是用戶使用類似網絡管理等軟件便無法欺騙局域網中的主機了。另外，大部分ARP病毒或類似的欺騙軟件都是使用假的IP和MAC發送欺騙報文，所以，可在交換急上配置IP-MAC-Prot的綁定，是交換機丟棄這些欺騙報文，從而防止其全網泛洪，如下圖所以：此時，假設主機B繼續使用假的IP、MAC發送欺騙報文，交換機將檢測到在f0/3收到與之不匹配的數據報文，並將其立刻丟掉。這種方法的缺點在於:如果網絡中的節點數很多，在路由器和交換機上的配置量便會隨之增多；而且網絡中如果採用DHCP動態分配IP位址，一旦主機（尤其是一些筆記本用戶）的IP位址發生變化，將直接導致該主機無法訪問網絡。