ARP欺骗

简介

ARP欺骗也可称ARP攻击，此攻击可让攻击者在局域网内通过修改目标主机MAC地址来获取目标的数据包，或者篡改数据包。

运行机制

ARP欺骗的运作原理是由攻击者发送假的ARP数据包到网上，尤其是送到网关上。其目的是要让送至特定的IP地址的流量被错误送到攻击者所取代的地方。因此攻击者可将这些流量另行转送到真正的网关（被动式数据包嗅探）或是篡改后再转送（中间人攻击，man-in-the-middle attack）。攻击者亦可将ARP数据包导到不存在的MAC地址以达到阻断服务攻击的效果。

举例理解

假设在一个LAN里，只有三台主机A、B、C，且C是攻击者。

1、 攻击者聆听局域网上的MAC地址。它只要收到两台主机洪泛的ARP Request，就可以进行欺骗活动。
主机A、B都洪泛了ARP Request.攻击者现在有了两台主机的IP、MAC地址，开始攻击。
2、 攻击者发送一个ARP Reply给主机B，把此包protocol header里的sender IP设为A的IP地址，sender mac设为攻击者自己的MAC地址。
3、主机B收到ARP Reply后，更新它的ARP表，把主机A的MAC地址（IP_A, MAC_A）改为（IP_A, MAC_C）。
4、当主机B要发送数据包给主机A时，它根据ARP表来封装数据包的Link报头，把目的MAC地址设为MAC_C，而非MAC_A。
5、 当交换机收到B发送给A的数据包时，根据此包的目的MAC地址（MAC_C）而把数据包转发给攻击者C。
6、 攻击者收到数据包后，可以把它存起来后再发送给A，达到偷听效果。攻击者也可以篡改数据后才发送数据包给A，造成伤害。

防治方法

1、将LAN网内的计算机ARP改为静态方式，但是大型的局域网不适用。
2、网上设备可借由DHCP保留网上上各计算机的MAC地址，在伪造的ARP数据包发出时即可侦测到。
3、软件。

正当用途

其一是在一个需要登录的LAN中，让未登录的计算机将其浏览网页强制转向到登录页面，以便登录后才可使用网上。另外有些设有备援机制的网上设备或服务器，亦需要利用ARP欺骗以在设备出现故障时将讯务导到备用的设备上。