分析ARP攻击与期骗

第3章-分析ARP攻击与期骗

一、ARP攻击与ARP期骗的原理和应用

（1）、ARP攻击和ARP期骗的原理

1、ARP攻击的原理

【原理】：ARP攻击的主要目的是使网络无法正常通信

Ø攻击主机制造假的ARP应答，并发送给局域网中除被攻击主机之外的所有主机，ARP应答中包含被攻击主机的IP地址和虚假的MAC地址

Ø攻击主机制造假的ARP应答，并发送给被攻击主机，ARP应答中包含除被攻击主机之外的所有主机的IP地址和虚假的MAC地址

【分析ARP攻击】

a)如果希望被攻击主机无法访问互联网，就需要向（网关、被攻击主机）发送虚假的ARP应答……当网关接收到虚假的ARP应答更新ARP条目后，如果网关再发送数据给PC1时，就会发送到虚假的MAC地址，从而导致通信故障

b)某些ARP病毒会向局域网中的所有主机发送ARP应答，其中包含网关的IP地址和虚假的MAC地址......局域网中的主机收到ARP应答更新ARP表后，就无法和网关正常通信，从而导致无法访问互联网

2、ARP期骗的原理

【原理】：ARP期骗并不是使网络无法正常通信，而是通过冒充网关或其他主机使到网关或主机的流量通过攻击主机进行转发。

通过转发流量可以对流量进行控制和查看，从而控制流量或得到机密信息

【分析ARP期骗】

a)ARP期骗发送ARP应答给局域网中其他主机，其中包含网关的IP地址和进行ARP欺骗的主机MAC地址

b)并且，也会发送ARP应答给网关，其中包含局域网中所有主机的IP地址和进行ARP期骗的主机MAC地址（有的软件只发送ARP应答给局域网中的其他主机，并不发送ARP应答欺骗网关）。当局域网中主机和网关收到ARP应答更新ARP表后，主机和网关之间的流量就需要通过攻击主机进行转发。

c)如图所示：冒充主机的过程和冒充网关的过程相同

（2）、解决ARP 故障

【方法一】：

Ø在主机上绑定IP-MAC（绑定网关路由器）

Ø在网关路由器上绑定IP-MAC（绑定主机）

【方法二】：

Ø使用ARP防火墙，自动抵御ARP欺骗和攻击

【方法三】：

Ø宽带路由绑定ARP或使用上网行为管理工具进行管理

（3）、ARP有关命令

【Windows下】

   查看ARP表： arp  -a

   清空ARP表： arp  -d

   绑定ARP：    arp -s  192.168.1.1  00-00-0c-2e-6e-38

【Cisco下】

   查看ARP表： show  ip  arp /show  arp

   绑定ARP：    arp 192.168.1.1 00-00-0c-2e-6e-38  apra  f0/1