分析ARP攻击与ARP欺骗

一、ARP攻击与ARP欺骗的原理和应用

1.1ARP攻击的原理

1.2ARP欺骗的原理

二、防御ARP攻击和ARP欺骗并查找攻击主机

2.1防御ARP攻击和ARP欺骗

2.2查找进行ARP攻击或ARP欺骗的主机

一、ARP攻击与ARP欺骗的原理和应用

1.1ARP攻击的原理

一般情况下，ARP 攻击的主要目的是使网络无法正常通信，它主要包括以下两种行为。

攻击主机制造假的 ARP应答，并发送给局域网中除被攻击主机之外的所有主机。ARP应答中包含被攻击主机的IP地址和虚假的MAC地址。

攻击主机制造假的 ARP应答，并发送给被攻击主机。ARP 应答中包含除被攻击主机之外的所有主机的IP地址和虚假的MAC地址。

只有执行上面ARP攻击行为中的任意一种，就可以使被攻击主机和其他攻击主机无法通信

1.2ARP欺骗的原理

一般情况下， ARP 欺骗并不会使网络无法正常通信，而是通过冒充网关或其他主机使到达网关或主机的流量通过攻击主机进行转发。攻击主机通过转发流量可以对流量进行控制和查看，从而控制流量或得到机密信息。

ARP欺骗发送ARP应答给局域网中其他主机，其中包含网关的IP地址和进行ARP欺骗的主机MAC地址;并且也发送ARP应答给网关，其中包含局域网中所有主机的IP地址和进行ARP欺骗的主机MAC地址(有的软件只发送ARP应答给局域网中的其他主机，并不发送ARP应答欺骗网关)。当局域网中主机和网关收到ARP应答更新ARP表后，主机和网关之间的流量就需要通过攻击主机进行转发

2.1防御ARP攻击和ARP欺骗

1.防御ARP攻击和ARP欺骗
防御ARP攻击和ARP欺骗的最有效方法是进行ARP绑定，即分别在主机和网关进行ARP绑定这样ARP表将不会受到虚假的ARP应答信息的影响而出现网络故障。如果网络中的主机较多进行ARP绑定的工作量十分大，并且主机ARP绑定后重启系统就需要重新绑定，所以，可以使用ARP防火墙自动抵御。

2查找进行ARP攻击或ARP欺骗的主机
当网络出现故障时，可通过ARP协议查到有问题主机的MAC地址，但是如果MAC地址没有记录或攻击者使用的是虚假的MAC地址，那么应该如何找到问题主机呢?
在网络出现ARP病毒时，可以知道中病毒主机的MAC地址(MAC 地址可能是虚假的)。经查表没有发现对应的主机，这说明ARP病毒可能伪造了-个虚假的MAC地址。这时要查找出问题主机，就要查看交换机的MAC地址表。
由于交换机学习数据帧中的源MAC地址，因此使用show mac address- -table 命令可查看端口学习到的MAC地址。从MAC地址表中找到问题的MAC地址，从而判断发出此MAC地址数据帧的主机下挂在此端口;再查看下挂交换机的MAC地址表，最终确定-一个端口下所有问题的主机。

2.2查找进行ARP攻击或ARP欺骗的主机

当网络出现故障时，可通过ARP协议查到有问题主机的MAC地址，但是如果MAC地址没有记录或攻击者使用的是虚假的MAC地址，那么应该如何找到问题主机呢?

在网络出现ARP病毒时，可以知道中病毒主机的MAC地址(MAC 地址可能是虚假的)。经查表没有发现对应的主机，这说明ARP病毒可能伪造了一个虛假的MAC地址。这时要查找出问题主机，就要查看交换机的MAC地址表。

由于交换机学习数据帧中的源MAC地址，因此使用show mac address- -table 命令可查看端口学习到的MAC地址。从MAC地址表中找到问题的MAC地址，从而判断发出此MAC地址数据帧的主机下挂在此端口;再查看下挂交换机的MAC地址表，最终确定一个端口下所有问题的主机。