ARP目前已經(jīng)不只是協(xié)議的簡(jiǎn)寫(xiě)，還成了掉線的代名詞。很多網(wǎng)吧和企業(yè)網(wǎng)絡(luò)不穩(wěn)，無(wú)故掉線，經(jīng)濟(jì)蒙受了很大的損失。根據(jù)情況可以看出這是一種存在于網(wǎng)絡(luò)中的一種普遍問(wèn)題。出現(xiàn)此類(lèi)問(wèn)題的主要原因就是遭受了ARP攻擊。

由于ARP攻擊的變種版本之多，傳播速度之快，很多技術(shù)人員和企業(yè)對(duì)其束手無(wú)策。下面就來(lái)給大家從原理到應(yīng)用談一談這方面的話題。希望能夠幫大家解決此類(lèi)問(wèn)題，凈化網(wǎng)絡(luò)環(huán)境。

在局域網(wǎng)中，通過(guò)ARP協(xié)議來(lái)完成IP地址轉(zhuǎn)換為第二層物理地址，實(shí)現(xiàn)局域網(wǎng)機(jī)器的通信。ARP協(xié)議對(duì)網(wǎng)絡(luò)安全具有重要的意義。這是建立在相互信任的基礎(chǔ)上。如果通過(guò)偽造IP地址和MAC地址實(shí)現(xiàn)ARP欺騙，將在網(wǎng)絡(luò)中產(chǎn)生大量的ARP通信量使網(wǎng)絡(luò)阻塞、掉線、重定向、嗅探攻擊。

我們知道每個(gè)主機(jī)都用一個(gè)ARP高速緩存，存放最近IP地址到MAC硬件地址之間的映射記錄。Windows高速緩存中的每一條記錄的生存時(shí)間一般為60秒，起始時(shí)間從被創(chuàng)建時(shí)開(kāi)始算起。默認(rèn)情況下，ARP從緩存中讀取IP-MAC條目，緩存中的IP-MAC條目是根據(jù)ARP響應(yīng)包動(dòng)態(tài)變化的。

因此，只要網(wǎng)絡(luò)上有ARP響應(yīng)包發(fā)送到本機(jī)，即會(huì)更新ARP高速緩存中的IP-MAC條目。如：X向Y發(fā)送一個(gè)自己偽造的ARP應(yīng)答，而這個(gè)應(yīng)答中的數(shù)據(jù)發(fā)送方IP地址是192.168.1.3（Z的IP地址），MAC地址是DD-DD-DD-DD-DD-DD（Z的真實(shí)MAC地址卻是CC-CC-CC-CC-CC-CC，這里被偽造了）。當(dāng)Y接收到X偽造的ARP應(yīng)答，就會(huì)更新本地的ARP緩存（Y可不知道被偽造了）。那么如果偽造成網(wǎng)關(guān)呢?

Switch上同樣維護(hù)著一個(gè)動(dòng)態(tài)的MAC緩存，它一般是這樣，首先，交換機(jī)內(nèi)部有一個(gè)對(duì)應(yīng)的列表，交換機(jī)的端口對(duì)應(yīng)MAC地址表Port n <-> Mac記錄著每一個(gè)端口下面存在那些MAC地址，這個(gè)表開(kāi)始是空的，交換機(jī)從來(lái)往數(shù)據(jù)幀中學(xué)習(xí)。

因?yàn)镸AC-PORT緩存表是動(dòng)態(tài)更新的，那么讓整個(gè) Switch的端口表都改變，對(duì)Switch進(jìn)行MAC地址欺騙的Flood，不斷發(fā)送大量假M(fèi)AC地址的數(shù)據(jù)包，Switch就更新MAC-PORT緩存，如果能通過(guò)這樣的辦法把以前正常的MAC和Port對(duì)應(yīng)的關(guān)系破壞了，那么Switch就會(huì)進(jìn)行泛洪發(fā)送給每一個(gè)端口，讓Switch基本變成一個(gè) HUB，向所有的端口發(fā)送數(shù)據(jù)包，要進(jìn)行嗅探攻擊的目的一樣能夠達(dá)到。也將造成Switch MAC-PORT緩存的崩潰，如下面交換機(jī)中日志所示：

Internet 192.168.1.4 0000b.cd85.a193 ARPAVlan256  
 
Internet 192.168.1.5 0000b.cd85.a193 ARPAVlan256  
 
Internet 192.168.1.6 0000b.cd85.a193 ARPAVlan256  
 
Internet 192.168.1.7 0000b.cd85.a193 ARPAVlan256  
 
Internet 192.168.1.8 0000b.cd85.a193 ARPAVlan256  
 
Internet 192.168.1.9 0000b.cd85.a193 ARPAVlan256  

ARP攻擊時(shí)的主要現(xiàn)象

網(wǎng)上銀行、保密數(shù)據(jù)的頻繁丟失。當(dāng)局域網(wǎng)內(nèi)某臺(tái)主機(jī)運(yùn)行ARP欺騙的木馬程序時(shí)，會(huì)欺騙局域網(wǎng)內(nèi)所有主機(jī)和路由器，讓所有上網(wǎng)的流量必須經(jīng)過(guò)病毒主機(jī)。其他用戶(hù)原來(lái)直接通過(guò)路由器上網(wǎng)現(xiàn)在轉(zhuǎn)由通過(guò)病毒主機(jī)上網(wǎng)，切換的時(shí)候用戶(hù)會(huì)斷一次線。切換到病毒主機(jī)上網(wǎng)后，如果用戶(hù)已經(jīng)登陸服務(wù)器，那么病毒主機(jī)就會(huì)經(jīng)常偽造斷線的假像，那么用戶(hù)就得重新登錄服務(wù)器，這樣病毒主機(jī)就可以竊取所有機(jī)器的資料了。

網(wǎng)速時(shí)快時(shí)慢，極其不穩(wěn)定，但單機(jī)進(jìn)行光纖數(shù)據(jù)測(cè)試時(shí)一切正常。局域網(wǎng)內(nèi)頻繁性區(qū)域或整體掉線，重啟計(jì)算機(jī)或網(wǎng)絡(luò)設(shè)備后恢復(fù)正常

ARP欺騙的木馬程序由于發(fā)作的時(shí)候會(huì)發(fā)出大量的數(shù)據(jù)包導(dǎo)致局域網(wǎng)通訊擁塞以及其自身處理能力的限制，用戶(hù)會(huì)感覺(jué)上網(wǎng)速度越來(lái)越慢。當(dāng)ARP欺騙的木馬程序停止運(yùn)行時(shí)，用戶(hù)會(huì)恢復(fù)從路由器上網(wǎng)，切換過(guò)程中用戶(hù)會(huì)再次斷線。更多內(nèi)容請(qǐng)讀者閱讀：ARP的解決辦法

【編輯推薦】

1. 淺析ARP攻擊的防護(hù)措施
2. 深入解析ARP欺騙攻擊防護(hù)之ARP
3. 深入解析ARP欺騙攻擊防護(hù)之根本防護(hù)
4. 深入解析ARP欺騙攻擊防護(hù)之方法介紹
5. 深入解析ARP欺騙攻擊防護(hù)之實(shí)現(xiàn)方式介紹