ARP攻擊是利用ARP協議設計時缺乏安全驗證漏洞來實現的，通過僞造ARP數據包來竊取合法用戶的通信數據，造成影響網絡傳輸速率和盜取用戶隐私信息等嚴重危害。

ARP病毒及木馬程序利用ARP的安全缺陷實現對網絡的攻擊。

ARP攻擊原理

網絡中有A、B、C三台主機，主機A與主機B正常通信，主機C進入網絡，開始實施ARP欺騙。首先，主機C給主機A發一個ARP應答報文，報文顯示主機B的IP地址映射主機C的MAC，主機A收到這個報文，更新自己的ARP緩存表，修改主機B的IP地址對應的MAC。這樣，其後主機A發往主機B的數據包均會發給主機C。如果主機C不轉發該數據包到主機B，則主機B認為與主機A的通信發生故障，而主機A無法察覺。如果主機C轉發數據包到主機B，則主機B與主機A之間的通信不受影響，僅僅是主機C監聽到主機A到主機B的數據包。

同理，主機C發ARP應答報文欺騙主機B，則主機B發往主機A的數據包被主機C監聽。

根據ARP攻擊的危害，可分為欺騙型和破壞型兩類。實際網絡中欺騙型攻擊有三種：

1. 一種是局域網主機冒充網關欺騙網内主機，導緻主機訪問網關的數據包均發往欺騙主機，局域網内主機無法正常上網。
2. 另一種是欺騙網關，修改網關的ARP表項，導緻網關到主機的數據包無法到達正确主機。
3. 第三種是主機對主機的欺騙，導緻正常主機之間通信中斷。

攻擊者冒充網關欺騙主機，使用戶正常發往網關的數據流發至攻擊者，導緻用戶無法訪問外部網絡。

冒充網關欺騙用戶

攻擊者冒充普通用戶欺騙網關，使網關到用戶的數據流無法到達正确用戶。

冒充用戶欺騙網關

攻擊者冒充用戶欺騙用戶，使正常用戶之間通信中斷。

冒充用戶欺騙用戶

破壞型攻擊也稱為ARP泛洪攻擊。攻擊者僞造大量虛假ARP報文，對局域網内所有主機和網關進行廣播，幹擾正常通信。

ARP泛洪攻擊

1.主機級被動檢測

當系統接收到來自局域網上的ARP請求時，系統檢查該請求發送端的IP地址是否與自己的IP地址相同。如果相同，則說明該網絡上另有一台機器與自己具有相同的IP地址。

2.主機級主動檢測

主機定期向所在局域網發送查詢自己IP地址的ARP請求報文。如果能夠收到另一ARP響應報文，則說明該網絡上另
有一台機器與自己具有相同的IP地址。

3.服務器級檢測

當服務器收到ARP響應時，為了證實它的真實性，根據反向地址解析協議(RARP)就用從響應報文中給出的MAC地址再生成一個RARP請求，它詢問這樣一個問題：“如果你是這個MAC地址的擁有者，請回答你的IP地址”。這樣就會查詢到這個MAC地址對應的IP地址，比較這兩個IP地址，如果不同，則說明對方僞造了ARP響應報文。

4.網絡級檢測

配置主機定期向中心管理主機報告其ARP緩存的内容。這樣中心管理主機上的程序就會查找出兩台主機報告信息的不一緻，以及同一台主機前後報告内容的變化。這些情況反映了潛在的安全問題。或者利用網絡嗅探工具連續監測網絡内主機硬件地址與IP地址對應關系的變化。

上一篇：「網絡安全」常見攻擊篇（22）——DHCP攻擊

下篇預告：「網絡安全」常見攻擊篇（24）——淚滴攻擊 敬請關注

更多精彩资讯请关注tft每日頭條，我们将持续为您更新最新资讯!