什么是ARP?什么是ARP攻击?什么是ARP欺骗?

---

Vista探索者（www.vistause.net）：什么是ARP?什么是ARP攻击?什么是ARP欺骗?

举个例子,你局域网内经常有人使用ARP欺骗De木马程序（比如：传奇盗号De软件,某些传奇外挂中也被恶意加载了此程序）,而有时,你访问一些网站,却被告知有木马,实际上,那个网站是非常正规De,但是因为这个网站所在De服务器受到arp攻击,就影响到了访问这个网站De用户.

首先,Vista探索者（www.vistause.net）先描述下什么是ARP

什么是ARP?

我们知道,当我们在浏览器里面输入网址时,DNS服务器会自动把它解析为IP地址,浏览器实际上查找De是IP地址而不是网址.那么IP地址是如何转换为第二层物理地址（即MAC地址）De呢?在局域网中,这是通过ARP协议来完成De.ARP协议对网络安全具有重要De意义.通过伪造IP地址和MAC地址实现 ARP欺骗,能够在网络中产生大量DeARP通信量使网络阻塞.所以网管们应深入理解ARP协议.

一、什么是ARP协议

ARP协议是%26ldquo;Address Resolution Protocol%26rdquo;（地址解析协议）De缩写.在局域网中,网络中实际传输De是%26ldquo;帧%26rdquo;,帧里面是有目标主机DeMAC地址De.在以太网中,一个主机要和另一个主机进行直接通信,必须要知道目标主机DeMAC地址.但这个目标MAC地址是如何获得De呢?它就是通过地址解析协议获得De.所谓%26ldquo;地址解析%26rdquo;就是主机在发送帧前将目标IP地址转换成目标MAC地址De过程.ARP协议De基本功能就是通过目标设备DeIP地址,查询目标设备DeMAC地址,以保证通信De顺利进行.

二、ARP协议De工作原理

在每台安装有TCP/IP协议De电脑里都有一个ARP缓存表,表里DeIP地址与MAC地址是一一对应De,如下表所示.

主机 IP地址 MAC地址
A 192.168.16.1 aa-aa-aa-aa-aa-aa
B 192.168.16.2 bb-bb-bb-bb-bb-bb

C 192.168.16.3 cc-cc-cc-cc-cc-cc
D 192.168.16.4 dd-dd-dd-dd-dd-dd

我们以主机A（192.168.1.5）向主机B（192.168.1.1）发送数据为例.

当发送数据时,主机A会在自己DeARP缓存表中寻找是否有目标 IP地址.如果找到了,也就知道了目标MAC地址,直接把目标MAC地址写入帧里面发送就可以了；如果在ARP缓存表中没有找到相对应DeIP地址,主机A 就会在网络上发送一个广播,目标MAC地址是%26ldquo;FF.FF.FF.FF.FF.FF%26rdquo;,这表示向同一网段内De所有主机发出这样De询问： %26ldquo;192.168.1.1DeMAC地址是什么?%26rdquo;网络上其他主机并不响应ARP询问,只有主机B接收到这个帧时,才向主机A做出这样De回应： %26ldquo;192.168.1.1DeMAC地址是00-aa-00-62-c6-09%26rdquo;.这样,主机A就知道了主机BDeMAC地址,它就可以向主机B发送信息了.同时它还更新了自己DeARP缓存表,下次再向主机B发送信息时,直接从ARP缓存表里查找就可以了.ARP缓存表采用了老化机制,在一段时间内如果表中De某一行没有使用,就会被删除,这样可以大大减少ARP缓存表De长度,加快查询速度.

三、如何查看ARP缓存表

ARP缓存表是可以查看De,也可以添加和修改.在命令提示符下,输入%26ldquo;arp -a%26rdquo;就可以查看ARP缓存表中De内容了,如附图所示.

用%26ldquo;arp -d%26rdquo;命令可以删除ARP表中某一行De内容；用%26ldquo;arp -s%26rdquo;可以手动在ARP表中指定IP地址与MAC地址De对应.

四、ARP欺骗

其实,此起彼伏De瞬间掉线或大面积De断网大都是ARP欺骗在作怪.ARP欺骗攻击已经成了破坏网吧经营De罪魁祸首,是网吧老板和网管员De心腹大患.

从影响网络连接通畅De方式来看,ARP欺骗分为二种,一种是对路由器ARP表De欺骗；另一种是对内网PCDe网关欺骗.

第一种ARP欺骗De原理是%26mdash;%26mdash;截获网关数据.它通知路由器一系列错误De内网MAC地址,并按照一定De频率不断进行,使真实De地址信息无法通过更新保存在路由器中,结果路由器De所有数据只能发送给错误DeMAC地址,造成正常PC无法收到信息.第二种ARP欺骗De原理是%26mdash;%26mdash;伪造网关.它De原理是建立假网关,让被它欺骗DePC向假网关发数据,而不是通过正常De路由器途径上网.在PC看来,就是上不了网了,%26ldquo;网络掉线了%26rdquo;.

一般来说,ARP欺骗攻击De后果非常严重,大多数情况下会造成大面积掉线.有些网管员对此不甚了解,出现故障时,认为PC没有问题,交换机没掉线De%26ldquo;本事%26rdquo;,电信也不承认宽带故障.而且如果第一种ARP欺骗发生时,只要重启路由器,网络就能全面恢复,那问题一定是在路由器了.为此,宽带路由器背了不少 %26ldquo;黑锅%26rdquo;.

作为网吧路由器De厂家,对防范ARP欺骗不得已做了不少份内、份外De工作.一、在宽带路由器中把所有PCDeIP-MAC输入到一个静态表中,这叫路由器 IP-MAC绑定.二、力劝网管员在内网所有PC上设置网关De静态ARP信息,这叫PC机IP-MAC绑定.一般厂家要求两个工作都要做,称其为IP- MAC双向绑定.

五、如何实现ARP攻击?针对ARP原理De例子：

了解上面这些常识后,现在就可以谈在网络中如何实现ARP欺骗了,可以看看这样一个例子：

一个入侵者想非法进入某台主机,他知道这台主机De防火墙只对192.0.0.3(假设)这个ip开放23口(telnet),而他必须要使用telnet来进入这台主机,所以他要这么做：
1、他先研究192.0.0.3这台主机,发现这台95De机器使用一个oob就可以让他死掉.
2、于是,他送一个洪水包给192.0.0.3De139口,于是,该机器应包而死.
3、这时,主机发到192.0.0.3Deip包将无法被机器应答,系统开始更新自己Dearp对应表.将192.0.0.3De项目搽去.
4、这段时间里,入侵者把自己Deip改成192.0.0.3
5、他发一个ping(icmp 0)给主机,要求主机更新主机Dearp转换表.
6、主机找到该ip,然后在arp表中加入新Deip--%26gt;mac对应关系.

上一篇： 如何防范ARP攻击？用什么方法解决ARP欺骗？  
下一篇： 1分钟破解Vista 系统登录密码，直接登录Vista系统