ARP原理及ARP欺骗实验

ARP原理及ARP欺骗实验

1. ARP原理

• ARP是什么？

ARP（Address Resolution Protocol），即地址解析协议。可以根据IP地址获取到MAC地址，属于TCP/IP数据链路层。

• 为什么需要ARP？

一个网络设备要发送给另一个网络设备时，必须要知道对方的IP地址。但是，IP数据报文必须要封装成帧才能通过数据链路层进行发送，而数据帧必须要包含目的MAC地址，因此发送端必须要获取到目的MAC。

• ARP工作过程

• ARP请求和ARP响应

• ARP请求

主机A首次发送数据包给主机C时，主机A会发送ARP Request来获取主机C的MAC地址。由于主机A不知道主机C的MAC地址，所以目的MAC地址为FF-FF-FF-FF-FF（此过程即为广播）。ARP Request会在整个网络中传播，该网络中的所有主机包括网关都会收到此报文。

• ARP响应

所有主机收到该ARP Request报文后，会检查目的IP是否与自身IP相匹配，如果不匹配，则丢弃此报文。如果匹配，则将ARP报文中的源MAC地址和源IP地址记录到自己的ARP缓存中，并通过ARP Reply报文进行响应。

2.ARP欺骗

• ARP欺骗原理

如图中，主机B通过伪造ARP Reply响应包，将自己的MAC和和主机C的IP地址作为响应包发送给主机A，伪装成主机C。自此，主机A发送给主机C的数据包都会被主机B截获。

• ARP欺骗实验

• 实验环境：

kali–10.0.0.200（攻击机），win10–10.0.0.201（靶机），网关10.0.0.2

• 实验工具

arpspoof
wireshark

• 配置文件

/proc/sys/net/ipv4/ip_forward是Linux系统的数据包转发配置文件，为了安全考虑，默认是禁止的。

echo 1 >/proc/sys/net/ipv4/ip_forward

• 查看靶机ARP缓存表

• 开始ARP欺骗

root@kali:~# arpspoof -t 10.0.0.201 10.0.0.2

• 查看靶机ARP缓存表

此时，攻击机已经伪装成网关。

• 开启wireshark抓包

root@kali:~# wireshark

这里已经抓到靶机的流量。

3. ARP欺骗防护

ARP欺骗本质是利用了ARP协议自身的缺陷，只要能防止主机伪造IP对应的MAC地址即可防御。
所以，从以下两点进行：

• 主机层面

安装防病毒软件，保证病毒库的及时更新。

• 网络节点层面

在交换机或启用ARP代理的路由器上设置IP地址与MAC地址绑定。如果接入层交换机有ARP检查功能的话，一定要启用该功能。