【正文】 ，此時(shí)如果D進(jìn)行整個(gè)包的修改轉(zhuǎn)發(fā)，捕獲到A發(fā)送給C的數(shù)據(jù)包，全部進(jìn)行修改后再轉(zhuǎn)發(fā)給C，而C接收到的數(shù)據(jù)包完全認(rèn)為是從A發(fā)送來(lái)的。不過(guò)，C發(fā)送的數(shù)據(jù)包又直接傳遞給A，倘若再次進(jìn)行對(duì)C的ARP欺騙?，F(xiàn)在D就完全成為A與C的中間橋梁了，對(duì)于A和C之間的通訊就可以了如指掌了。三、ARP攻擊的危害、癥狀及類(lèi)型 ARP攻擊的危害 網(wǎng)絡(luò)頻繁掉線網(wǎng)速時(shí)快時(shí)慢網(wǎng)上銀行、網(wǎng)絡(luò)游戲及等賬號(hào)丟失 ARP攻擊盜取數(shù)據(jù)的過(guò)程1. 掃描目標(biāo)計(jì)算機(jī)2. 偽裝服務(wù)器3. 欺騙目標(biāo)計(jì)算機(jī)4. 截取目標(biāo)計(jì)算機(jī)所發(fā)數(shù)據(jù)5. 分析數(shù)據(jù)6. 轉(zhuǎn)發(fā)數(shù)據(jù)至Internet7. 截取Internet返回的數(shù)據(jù)8. 分析數(shù)據(jù)9. 轉(zhuǎn)發(fā)數(shù)據(jù)至目標(biāo)計(jì)算機(jī)10. 截取目標(biāo)計(jì)算機(jī)所發(fā)數(shù)據(jù)11. 分析數(shù)據(jù)12. 盜取重要數(shù)據(jù) ARP攻擊的癥狀1. 網(wǎng)絡(luò)時(shí)斷時(shí)通；2. 網(wǎng)絡(luò)中斷，重啟網(wǎng)關(guān)設(shè)備，網(wǎng)絡(luò)短暫連通；3. 內(nèi)網(wǎng)通訊正常、網(wǎng)關(guān)不通；4. 頻繁提示IP地址沖突；5. 硬件設(shè)備正常，局域網(wǎng)不通；6. 特定IP網(wǎng)絡(luò)不通，更換IP地址，網(wǎng)絡(luò)正常；7. 禁用啟用網(wǎng)卡，網(wǎng)絡(luò)短暫連通；8. 網(wǎng)頁(yè)被重定向。 ARP攻擊類(lèi)型——ARP掃描一般常見(jiàn)的ARP攻擊類(lèi)型為：ARP掃描和ARP欺騙。 ARP掃描（ARP請(qǐng)求風(fēng)暴） 通訊模式(可能)：請(qǐng)求＞請(qǐng)求＞請(qǐng)求＞請(qǐng)求＞應(yīng)答＞請(qǐng)求＞請(qǐng)求＞請(qǐng)求……. 描述：網(wǎng)絡(luò)中出現(xiàn)大量ARP請(qǐng)求廣播包，幾乎都是對(duì)網(wǎng)段內(nèi)的所有主機(jī)進(jìn)行掃描。大量的ARP請(qǐng)求廣播可能會(huì)占用網(wǎng)絡(luò)寬帶資源，ARP掃描一般為ARP攻擊的前奏。 出現(xiàn)原因：病毒程序、偵聽(tīng)程序、掃描程序。 ARP攻擊類(lèi)型—ARP欺騙常見(jiàn)ARP欺騙現(xiàn)象有： 仿冒網(wǎng)關(guān)、欺騙終端用戶(hù) 、欺騙網(wǎng)關(guān)、ARP泛洪攻擊。 欺騙目的：竊取數(shù)據(jù)，導(dǎo)致斷網(wǎng)。 出現(xiàn)原因：木馬病毒、嗅探、人為欺騙、人為破壞。 ——仿冒網(wǎng)關(guān)攻擊者發(fā)送偽造的網(wǎng)關(guān)ARP報(bào)文，欺騙同網(wǎng)段內(nèi)的其它主機(jī)。主機(jī)訪問(wèn)網(wǎng)關(guān)的流量，被重定向到一個(gè)錯(cuò)誤的MAC地址，導(dǎo)致該用戶(hù)無(wú)法正常訪問(wèn)外網(wǎng)。這種攻擊是ARP攻擊中最為常見(jiàn)的攻擊。 ——欺騙終端用戶(hù)攻擊者偽造虛假的ARP報(bào)文，欺騙相同網(wǎng)段內(nèi)的其他主機(jī)。網(wǎng)段內(nèi)的其他主機(jī)發(fā)給該用戶(hù)的所有數(shù)據(jù)都被重定向到錯(cuò)誤的MAC地址，同網(wǎng)段內(nèi)的用戶(hù)無(wú)法正常互訪。 常見(jiàn)ARP欺騙攻擊現(xiàn)象——欺騙網(wǎng)關(guān)攻擊者偽造虛假的ARP報(bào)文，欺騙網(wǎng)關(guān)。網(wǎng)關(guān)發(fā)給該用戶(hù)的所有數(shù)據(jù)全部重定向到一個(gè)錯(cuò)誤的MAC地址，導(dǎo)致該用戶(hù)無(wú)法正常訪問(wèn)外網(wǎng)。——ARP泛洪攻擊攻擊者偽造大量不同ARP報(bào)文在同網(wǎng)段內(nèi)進(jìn)行廣播，導(dǎo)致網(wǎng)關(guān)ARP表項(xiàng)被占滿(mǎn)，合法用戶(hù)的ARP表項(xiàng)無(wú)法正常學(xué)習(xí)，導(dǎo)致合法用戶(hù)無(wú)法正常訪問(wèn)外網(wǎng)。 ARP攻擊欺騙的典型實(shí)例 在網(wǎng)絡(luò)執(zhí)法官操作中，要想限制某臺(tái)機(jī)器上網(wǎng)，只要點(diǎn)擊網(wǎng)卡菜單中的權(quán)限，選擇指定的網(wǎng)卡號(hào)或在用戶(hù)列表中點(diǎn)擊該網(wǎng)卡所在行，從右鍵菜單中選擇權(quán)限，在彈出的對(duì)話(huà)框中即可限制該用戶(hù)的權(quán)限。對(duì)于未登記網(wǎng)卡，可以這樣限定其上線：只要設(shè)定好所有已知用戶(hù)（登記）后，將網(wǎng)卡的默認(rèn)權(quán)限改為禁止上線即 可阻止所有未知的網(wǎng)卡上線。使用這兩個(gè)功能就可限制用戶(hù)上網(wǎng)。其原理是通過(guò)ARP欺騙發(fā)給被攻擊的電腦一個(gè)假的網(wǎng)關(guān)IP地址對(duì)應(yīng)的MAC，使其找不到網(wǎng)關(guān)真正的MAC地址，這樣就可以禁止其上網(wǎng)。網(wǎng)絡(luò)剪刀手它盜用其他網(wǎng)絡(luò)主機(jī)IP對(duì)網(wǎng)關(guān)發(fā)送高頻率的單播（點(diǎn)對(duì)點(diǎn)）數(shù)據(jù)包，將網(wǎng)關(guān)與被盜用的合法主機(jī)的正常通訊隔離，導(dǎo)致被攻擊主機(jī)無(wú)法正常進(jìn)行網(wǎng)絡(luò)應(yīng)用。 當(dāng)局域網(wǎng)內(nèi)某臺(tái)主機(jī)運(yùn)行ARP欺騙的木馬程序時(shí)，會(huì)高頻率發(fā)送虛假ARP數(shù)據(jù)包，欺騙局域網(wǎng)內(nèi)路由器和所有網(wǎng)絡(luò)主機(jī)，讓所有上網(wǎng)的流量必須經(jīng)過(guò)病毒主機(jī)。其他用戶(hù)原來(lái)直接通過(guò)路由器上網(wǎng)現(xiàn)在轉(zhuǎn)由通過(guò)病毒主機(jī)上網(wǎng)，以截獲用戶(hù)私密信息。 四、ARP攻擊的常用防范方法目前ARP系列的攻擊方式和手段多種多樣，因此還沒(méi)有一個(gè)絕對(duì)全面有效的防范方法。從實(shí)踐經(jīng)驗(yàn)看最為有效的防范方法即打全系統(tǒng)的補(bǔ)丁、正確配置和使用網(wǎng)絡(luò)防火墻、安裝防病毒軟件并及時(shí)更新病毒庫(kù)。 從技術(shù)原理上，徹底解決ARP欺騙和攻擊，要有三個(gè)技術(shù)要點(diǎn)。 終端對(duì)網(wǎng)關(guān)的綁定要堅(jiān)實(shí)可靠，這個(gè)綁定能夠抵制被病毒搗毀。 接入路由器或網(wǎng)關(guān)要對(duì)下面終端IPMAC的識(shí)別始終保證唯一準(zhǔn)確。 網(wǎng)絡(luò)內(nèi)要有一個(gè)最可依賴(lài)的機(jī)構(gòu)，提供對(duì)網(wǎng)關(guān)IPMAC最強(qiáng)大的保護(hù)。 它既能夠分發(fā)正確的網(wǎng)關(guān)信息，又能夠?qū)Τ霈F(xiàn)的假網(wǎng)關(guān)信息立即封殺。 常見(jiàn)的ARP攻擊防范方法有： 雙綁措施 使用ARP防護(hù)軟件 使用ARP服務(wù)器 VLAN和交換機(jī)端口綁定 PPPoE 具有ARP防護(hù)功能的路由器 雙綁是在路由器和終端上都進(jìn)行IPMAC綁定的措施，它可以對(duì)ARP欺騙的兩邊，偽造網(wǎng)關(guān)和截獲數(shù)據(jù)，都具有約束的作用。這是從ARP欺騙原理上進(jìn)行的防范措施，也是最普遍應(yīng)用的辦法。它對(duì)付最普通的ARP欺騙是有效的。 終端進(jìn)行ARP綁定的方法：利用ARP命令編寫(xiě)批處理程序，加入到系統(tǒng)的啟動(dòng)選項(xiàng)里面。 ARP命令常用參數(shù):arp –a 顯示所有ARP信息 arp –d 刪除所有ARP信息 arp –s 增加一條ARP信息 批處理代碼如下： @echo off arp d arp–s 網(wǎng)關(guān)LAN IP 網(wǎng)關(guān)LAN MAC 同時(shí)路由器上做IPMAC表的綁定工作。 雙綁的缺陷在于3點(diǎn)： 在終端上進(jìn)行的靜態(tài)綁定，很容易被升級(jí)的ARP攻擊所搗毀，病毒的一個(gè)ARP –d命令（或是同樣在啟動(dòng)中加入一個(gè)arp d的批處理），就可以使靜態(tài)綁定完全失效。 在路由器上做IPMAC表的綁定工作，費(fèi)時(shí)費(fèi)力，是一項(xiàng)繁瑣的維護(hù)工作。換個(gè)網(wǎng)卡或更換IP，都需要重新配置路由。對(duì)于流動(dòng)性電腦，這個(gè)需要隨時(shí)進(jìn)行的綁定工作，是網(wǎng)絡(luò)維護(hù)的巨大負(fù)擔(dān)。 雙綁只是讓網(wǎng)絡(luò)的兩端電腦和路由不接收相關(guān)ARP信息，但是大量的ARP攻擊數(shù)據(jù)還是能發(fā)出，還要在內(nèi)網(wǎng)傳輸，大幅降低內(nèi)網(wǎng)傳輸效率，依然會(huì)出現(xiàn)問(wèn)題。因此，雖然雙綁是ARP防范的最基礎(chǔ)措施，但因?yàn)榉婪赌芰τ邢?，管理太麻煩，現(xiàn)在它的效果越來(lái)越有限了。 使用ARP防護(hù)軟件在一些殺毒軟件中加入了ARP個(gè)人防火墻的功能，它是通過(guò)在終端電腦上對(duì)網(wǎng)關(guān)進(jìn)行綁定，保證不受網(wǎng)絡(luò)中假網(wǎng)關(guān)的影響，從而保護(hù)自身數(shù)據(jù)不被竊取的措施。ARP防火墻使用范圍很廣，有很多人以為有了防火墻，ARP攻擊就不構(gòu)成威脅了，其實(shí)完全不是那么回事。ARP個(gè)人防火墻也有很大缺陷：它不能保證綁定的網(wǎng)關(guān)一定是正確的。如果一個(gè)網(wǎng)絡(luò)中已經(jīng)發(fā)生了ARP欺騙，有人在偽造網(wǎng)關(guān)，那么，ARP個(gè)人防火墻上來(lái)就會(huì)綁定這個(gè)錯(cuò)誤的網(wǎng)關(guān)，這是具有極大風(fēng)險(xiǎn)的。即使配置中不默認(rèn)而發(fā)出提示，缺乏網(wǎng)絡(luò)知識(shí)的用戶(hù)恐怕也無(wú)所適從。2 、ARP是網(wǎng)絡(luò)中的問(wèn)題，ARP既能偽造網(wǎng)關(guān)，也能截獲數(shù)據(jù)，是個(gè)“雙頭怪”。在個(gè)人終端上做ARP防范，而不管網(wǎng)關(guān)那端如何，這本身就不是一個(gè)完整的辦法。ARP個(gè)人防火墻起到的作用，就是防止自己的數(shù)據(jù)不會(huì)被盜取，而整個(gè)網(wǎng)絡(luò)的問(wèn)題，如掉線、卡滯等，ARP個(gè)人防火墻是無(wú)能為力的。 因此，ARP個(gè)人防火墻并沒(méi)有提供可靠的保證。最重要的是，它是跟網(wǎng)絡(luò)穩(wěn)定無(wú)關(guān)的措施，它是個(gè)人的，不是網(wǎng)絡(luò)的。 使用ARP 服務(wù)器。通過(guò)該服務(wù)器查找自己的ARP 轉(zhuǎn)換表來(lái)響應(yīng)其他機(jī)器的ARP 廣播。但同樣，必須要確保這臺(tái)ARP 服務(wù)器不被攻擊，若這臺(tái)服務(wù)器受到攻擊，則會(huì)造成整個(gè)局域網(wǎng)的終端都會(huì)受到攻擊，易造成單點(diǎn)故障引起整個(gè)網(wǎng)絡(luò)的癱瘓，因此，ARP服務(wù)器的保護(hù)就顯得至關(guān)重要。 VLAN和交換機(jī)端口綁定通過(guò)劃分VLAN和交換機(jī)端口綁定，以圖防范ARP，也是常用的防范方法。做法是細(xì)致地劃分VLAN，減小廣播域的范圍，使ARP在小范圍內(nèi)起作用，而不至于發(fā)生大面積影響。同時(shí)，一些網(wǎng)管交換機(jī)具有MAC地址學(xué)習(xí)的功能，學(xué)習(xí)完成后，再關(guān)閉這個(gè)功能，就可以把對(duì)應(yīng)的MAC和端口進(jìn)行綁定，避免了病毒利用ARP攻擊篡改自身地址。也就是說(shuō)，把ARP攻擊中被截獲數(shù)據(jù)的風(fēng)險(xiǎn)解除了。這種方法確實(shí)能起到一定的作用。 不過(guò)，VLAN和交換機(jī)端口綁定的問(wèn)題在于： 沒(méi)有對(duì)網(wǎng)關(guān)的任何保護(hù)，不管如何細(xì)分VLAN，網(wǎng)關(guān)一旦被攻擊，照樣會(huì)造成全網(wǎng)上網(wǎng)的掉線和癱瘓。 把每一臺(tái)電腦都牢牢地固定在一個(gè)交換機(jī)端口上，這種管理太死板了。這根本不適合移動(dòng)終端的使用，從辦公室到會(huì)議室，這臺(tái)電腦恐怕就無(wú)法上網(wǎng)了。在無(wú)線應(yīng)用下，又怎么辦呢？還是需要其他的辦法。 實(shí)施交換機(jī)端口綁定，必定要全部采用高級(jí)的網(wǎng)管交換機(jī)、三層交換機(jī)，整個(gè)交換網(wǎng)絡(luò)的造價(jià)大大提高。 因?yàn)榻粨Q網(wǎng)絡(luò)本身就是無(wú)條件支持ARP操作的，就是它本身的漏洞造成了ARP攻擊的可能，它上面的管理手段不是針對(duì)ARP的。因此，在現(xiàn)有的交換網(wǎng)絡(luò)上實(shí)施ARP防范措施，屬于以子之矛攻子之盾，而且操作維護(hù)復(fù)雜。 PPPoE網(wǎng)絡(luò)下面給每一個(gè)用戶(hù)分配一個(gè)帳號(hào)、密碼，上網(wǎng)時(shí)必須通過(guò)PPPoE認(rèn)證，這種方法也是防范ARP措施的一種。PPPoE撥號(hào)方式對(duì)封包進(jìn)行了二次封裝，使其具備了不受ARP欺騙影響的使用效果，很多人認(rèn)為找到了解決ARP問(wèn)題的終極方案。 問(wèn)題主要集中在效率和實(shí)用性上面： PPPoE需要對(duì)封包進(jìn)行二次封裝，在接入設(shè)備上再解封裝，必然降低了網(wǎng)絡(luò)傳輸效率，造成了帶寬資源的浪費(fèi)，要知道在路由等設(shè)備上添加PPPoE Server的處理效能和電信接入商的PPPoE Server可不是一個(gè)數(shù)量級(jí)的。 PPPoE方式下局域網(wǎng)間無(wú)法互訪，在很多網(wǎng)絡(luò)都有局域網(wǎng)內(nèi)部的域控服務(wù)器、DNS服務(wù)器、郵件服務(wù)器、OA系統(tǒng)、資料共享、打印共享等等，需要局域網(wǎng)間相互通信的需求，而PPPoE方式使這一切都無(wú)法使用，是無(wú)法被接受的。不使用PPPoE，在進(jìn)行內(nèi)網(wǎng)訪問(wèn)時(shí)，ARP的問(wèn)題依然存在，什么都沒(méi)有解決，網(wǎng)絡(luò)的穩(wěn)定性還是不行。 因此，PPPoE在技術(shù)上屬于避開(kāi)底層協(xié)議連接，眼不見(jiàn)心不煩，通過(guò)犧牲網(wǎng)絡(luò)效率換取網(wǎng)絡(luò)穩(wěn)定。最不能接受的，就是網(wǎng)絡(luò)只能上網(wǎng)用，內(nèi)部其他的共享就不能在PPPoE下進(jìn)行了。 這類(lèi)路由器以前聽(tīng)說(shuō)的很少，對(duì)于這類(lèi)路由器中提到的ARP防護(hù)功能，其實(shí)它的原理就是定期的發(fā)送自己正確的ARP信息。但是路由器的這種功能對(duì)于真正意義上的攻擊，是不能解決的。 ARP的最常見(jiàn)的特征就是掉線，一般情況下不需要處理一定時(shí)間內(nèi)可以回復(fù)正常上網(wǎng)，因?yàn)锳RP欺騙是有老化時(shí)間的，過(guò)了老化時(shí)間就會(huì)自動(dòng)的回復(fù)正?！，F(xiàn)在大多數(shù)路由器都會(huì)在很短時(shí)間內(nèi)不停廣播自己的正確ARP信息，使受騙的主機(jī)回復(fù)正常。但是如果出現(xiàn)攻擊性ARP欺騙(其實(shí)就是時(shí)間很短的量很大的欺騙ARP，1秒有個(gè)幾百上千的)，它是不斷的發(fā)起ARP欺騙包來(lái)阻止內(nèi)網(wǎng)機(jī)器上網(wǎng)，即使路由器不斷廣播正確的包也會(huì)被他大量的錯(cuò)誤信息給淹沒(méi)。 總結(jié)： 通過(guò)對(duì)以上幾種普遍的ARP防范方法的分析，我們可以看出，現(xiàn)有ARP防范措施都存在一定的問(wèn)題。這也就是ARP即使研究很久很透，但依然在實(shí)踐中無(wú)法徹底解決的原因。網(wǎng)絡(luò)問(wèn)題必定需要網(wǎng)絡(luò)的方法去解決，我們只有在日常的維護(hù)過(guò)程中，根據(jù)網(wǎng)絡(luò)的實(shí)際情況結(jié)合自身的ARP防范經(jīng)驗(yàn)，打全系統(tǒng)的補(bǔ)丁、正確配置和使用網(wǎng)絡(luò)防火墻、安裝防病毒軟件并及時(shí)更新病毒庫(kù)、以及部署適合自己網(wǎng)絡(luò)特點(diǎn)的常用的ARP防范方法，即使這些方法無(wú)法在根本上解決ARP攻擊的問(wèn)題，但是在防范基礎(chǔ)的ARP攻擊上還是能夠起到一定的作用。在受到ARP攻擊后，沉著應(yīng)對(duì)，按照下面步驟一步步解決： 局域網(wǎng)內(nèi)出現(xiàn)異常情況時(shí)，看看是否符合ARP欺騙的幾種類(lèi)型。 如發(fā)現(xiàn)符合ARP欺騙的情況，可嘗試刪除并重建本機(jī)ARP Cache，如能恢復(fù)，則很可能正是受到了ARP攻擊。 可以采用ARP欺騙防護(hù)的幾種辦法，也可以使用專(zhuān)業(yè)防護(hù)軟件或防火墻。 捕獲局域網(wǎng)內(nèi)所有主機(jī)的發(fā)送和接受到的數(shù)據(jù)包。若發(fā)現(xiàn)有某IP相應(yīng)的主機(jī)行為異常，如不斷發(fā)送ARP請(qǐng)求包，則該主機(jī)一般就是病毒源。 36