一、ARP攻击概述

ARP攻击原理是什么？通过ARP攻击可以做什么，账号是否可以被窃取？有哪些常见的ARP渗透（攻击）工具可以用来练手？ARP扫描和攻击有什么区别，底层数据包特征是怎样的？

二、ARP攻击原理

一般情况,arp攻击得到主要目的是使网络无法正常通信,主要包括一下两种行为。

攻击主机制造假的arp应答,并发送给局域网中除被攻击之外的所有主机。arp应答中包含被攻击主机的IP地址和虚假的MAC地址。
攻击主机制造假的arp应答,并发送给被攻击的主机,arp应答中包含除被攻击攻击主机之外的所有主机的IP地址和虚假的MAC地址。
只要执行上诉arp攻击行为中的一种就可以实现被攻击主机和其他主机无法通信.
例如:如果希望被攻击主机无法访问互联网,就需要对网关发送或被攻击主机发送虚假的arp应答。当网关接受到虚假的ARP应答跟新ARP条目后,如果网关再发送数据给pcl时,就会发送到虚假的MAC地址导致通信故障。
某些arp病毒会向局域网中的所有主机发送ARP应答,其中包含网关IP地址和虚假的MAC地址。局域网中的主机收到ARP应答跟新ARP表后,就无法和网关正常通信,导致无法访问互联网。

三 arp欺骗的原理

一般情况下,ARP欺骗并不是使网络无法正常通信,而是通过冒充网关或其他主机使得到达网关或主机的流量通过攻击进行转发。通过转发流量可以对流量进行控制和查看,从而控制流量或得到机密信息。
ARP欺骗发送arp应答给局域网中其他的主机,其中包含网关的IP地址和进行ARP欺骗的主机MAC地址;并且也发送了ARP应答给网关,其中包含局域网中所有主机的IP地址和进行arp欺骗的主机MAC地址。当局域网中主机和网关收到ARP应答跟新ARP表后,主机和网关之间的流量就需要通过攻击主机进行转发。冒充主机的过程和冒充网关相同。

四常见ARP渗透工具

基于ARP欺骗原理设计出来的渗透/攻击工具非常多，而最终能实现什么功能则各有差异，简单举几个例子：
① 无毒无害型的仅具备ARP扫描功能，用来发现内网主机；例如Metasploit里面的arping/arpscan相关模块；
② ARP扫描+流量控制（限速或限制能上哪些网站和应用）；例如Windows下的P2P终结者；
③ ARP扫描+账号窃取（网站、邮箱、各种）；最强的莫过于Windows下的Cain，当然还有跨平台的Ettercap（需配合其他工具）；

五处理ARP故障/解决ARP故障的方法有两种

第一种解决方法

处理ARP欺骗攻击最一般的方法就是IP-MAC绑定，可以在客户端主机和网关路由器上双向绑定IP-MAC来避免ARP欺骗导致无法上网。

在主机上绑定网关路由器的IP和MAC地址，可以通过“arp -S”命令实现。
在网关路由器上绑定主机的IP地址和MAN地址
这时候网络中如果有ARP病毒发作，或者是用户使用类似网络管理等软件便无法欺骗局域网中的主机了。另外，大部分ARP病毒或类似的欺骗软件都是使用假的IP和MAC发送欺骗报文，所以，可在交换机上配置IP-MAC-Port的绑定，是交换机丢弃这些欺骗报文，从而防止其全网泛洪
这种方法的缺点在于:如果网络中的节点数很多，在路由器和交换机上的配置量便会随之增多；而且网络中如果采用DHCP动态分配IP地址，一旦主机的IP地址发生变化，将直接导致该主机无法访问网络。

第二种解决方法

使用ARP防火墙，自动抵御ARP欺骗和ARP攻击。
在主机上开启ARP防火墙，防火墙的主界面显示统计数据，包括：ARP协议收发数据包的统计、拦截ARP攻击的统计、自动绑定IP/MAC地址，网关等。

六 ARP缓存

ARP缓存是一个缓冲区，用来储存IP地址和MAC地址，本质就是的对应表。表中一个条目记录了网络上一个主机的IP地址和其对应的MAC地址。
每一个以太网或令牌环网络适配器都有自己单独的表。

当地址解析协议被询问一个已知IP地址节点的MAC地址时，先在ARP缓存中查看，若存在，就直接返回与之对应的MAC地址，若不存在，才发送ARP请求向局域网查询。

ARP缓存表项的生存时间TTL

ARP缓存包含动态和静态项目：

动态项目随时间推移自动添加和删除，每个动态ARP缓存项都有都设置了TTL(生存时间)，TTL为0时此项目就从表中删除，Windows下TTL一般不超过10分钟。

静态 ARP 缓存条目是永久性的，可以使用 TCP/IP 工具手动添加和删除。静态 ARP 缓存条目用来禁止节点发送对常用的本地IPv4地址（例如路由器和服务器的 IPv4 地址）的ARP请求。

ARP高速缓存的使用

当主机发送一个ARP请求时，先查看ARP高速缓存表，如果存在对应条目，则直接返回MAC地址，否则向局域网发送ARP请求广播。

ARP高速缓存的优缺点

优点：从ARP高速缓存的使用中可以看到，ARP高速缓存可以减小广播量，进而减小网络通信量，提高计算机之间的通信效率。

缺点：造成安全隐患

七 ARP攻击总结

①ARP缓存表基于"后到优先"原则，IP与MAC的映射信息能被覆盖；
②ARP攻击基于伪造的ARP回应包，黑客通过构造"错位"的IP和MAC映射，覆盖主机的ARP表（也被称为"ARP毒化"），最终截取用户的数据流；
③一旦遭受ARP攻击，账号密码都可能被窃取（如果通信协议不是加密的）；

ARP攻击