ARP攻击的发现、攻击原理、攻击方式、防护

 

ARP协议概述

ARP协议（address resolution protocol）地址解析协议。

一台主机和另一台主机通信，要知道目标的IP地址，但是在局域网中传输数据的网卡却不能直接识别IP地址，所以用ARP解析协议将IP地址解析成MAC地址。ARP协议的基本功能就是通过目标设备的IP地址，来查询目标设备的mac地址。

在局域网的任意一台主机中，都有一个ARP缓存表，里面保存本机已知的此局域网中各主机和路由器的IP地址和MAC地址的对照关系。ARP缓存表的生命周期是有时限的（一般不超过20分钟）。

举个例子：假设局域网中有四台主机

主机A想和主机B通信，主机A会先查询自己的ARP缓存表里有没有B的联系方式，有的话，就将mac-b地址封装到数据包外面，发送出去。没有的话，A会向全网络发送一个ARP广播包，大声询问：我的IP地址是192.168.0.2，硬件地址是mac-a，我想知道IP地址是192.168.0.3的硬件地址是多少？、

此时，局域网内所有主机都收到了，B收到后会单独私密回应：我是192.168.0.3，我的硬件地址是 mac-b ，其他主机不会理A的此时A知道了B的信息，同时也会动态的更新自身的缓存表。

APR攻击发现

首先诊断是否为ARP病毒攻击

1. 当发现上网明显变慢，或者突然掉线时，我们可以用 arp -a 命令来检查ARP表：（点击“开始”按钮-选择“运行”-输入“cmd”点击"确定"按钮，在窗口中输入“arp -a”命令）如果发现网关的MAC地址发生了改变，或者发现有很多IP指向同一个物理地址，那么肯定就是ARP欺骗所致。这时可以通过“arp -d”清除arp列表ÿ