什么是ARP攻击？-余初云

什么是ARP？

ARP（Address Resolution Protocol），是根据IP地址获取物理地址的一个TCP/IP协议。主机发送信息时将包含目标IP地址的ARP请求广播到局域网络上的所有主机，并接收返回消息，以此确定目标的物理地址；收到返回消息后将该IP地址和物理地址存入本机ARP缓存中并保留一定时间，下次请求时直接查询ARP缓存以节约资源。

什么是ARP攻击？

Arp攻击是指第三方黑客通过arp协议的缺陷漏洞。arp地址解析协议是建立在网络中各个主机互相信任的基础上的，局域网络上的主机可以自主发送ARP应答消息，其他主机收到应答报文时不会检测该报文的真实性就会将其记入本机ARP缓存；由此攻击者就可以向某一主机发送伪ARP应答报文，使其发送的信息无法到达预期的主机或到达错误的主机，这就构成了一个ARP欺骗。

（arp缓存表后来优先，也就是原来主机B的地址表192.168.0.2: BB-BB-BB-BB-BB-BB但是主机C向主机A发送一个arp信息，信息的组成为C主机的MAC地址和B主机的ip地址192.168.0.2: CC-CC-CC-CC-CC-CC。所以主机A会认主机B的mac地址为CC-CC-CC-CC-CC-CC的地址为主机B，但是现在这个地址是主机C的，他就会把消息发送给主机C）。

ARP攻击分类

1、ARP泛洪攻击

通过向网关发送大量ARP报文，导致网关无法正常响应。首先发送大量的ARP请求报文，然后又发送大量虚假的ARP响应报文，从而造成网关部分的CPU利用率上升难以响应正常服务请求，而且网关还会被错误的ARP表充满导致无法更新维护正常ARP表，消耗网络带宽资源。

2、ARP欺骗主机的攻击

ARP欺骗主机的攻击也是ARP众多攻击类型中很常见的一种。攻击者通过ARP欺骗使得局域网内被攻击主机发送给网关的流量信息实际上都发送给攻击者。主机刷新自己的ARP使得在自己的ARP缓存表中对应的MAC为攻击者的MAC，这样一来其他用户要通过网关发送出去的数据流就会发往主机这里，这样就会造成用户的数据外泄。

3、欺骗网关的攻击

欺骗网关就是把别的主机发送给网关的数据通过欺骗网关的形式使得这些数据通过网关发送给攻击者。这种攻击目标选择的不是个人主机而是局域网的网关，这样就会攻击者源源不断的获取局域网内其他用户数据．造成数据的泄露，同时用户电脑中病毒的概率也会提升。

4、中间人攻击

中间人攻击是同时欺骗局域网内的主机和网关，局域网中用户的数据和网关的数据会发给同一个攻击者，这样，用户与网关的数据就会泄露。

5、IP地址冲突攻击

通过对局域网中的物理主机进行扫描，扫描出局域网中的物理主机的MAC地址，然后根据物理主机的MAC进行攻击，导致局域网内的主机产生IP地址冲突，影响用户的网络正常使用。

ARP的欺骗原理

ARP欺骗是通过冒充网关或其他主机使得到达网关或主机的流量通过攻击手段进行转发。从而控制流量或得到机密信息。ARP欺骗不是真正使网络无法正常通信，而是ARP欺骗发送虚假信息给局域网中其他的主机，这些信息中包含网关的IP地址和主机的MAC地址；并且也发送了ARP应答给网关，当局域网中主机和网关收到ARP应答跟新ARP表后，主机和网关之间的流量就需要通过攻击主机进行转发。

基本形式

中间人攻击

中间人攻击是最典型的攻击之一，受到黑客的中间人攻击，可能会严重危害服务器和用户。中间人攻击就是攻击者扮演中间人并且实施攻击。它有时被称为monkey-in-the-middle攻击或man-in-the-mobile攻击，是网络监听的一种方式。攻击者进入两台通信的计算机之间，这样他就可以完成网络数据包（以太网数据包）嗅探和分析，中间人计算机将在两台互相通信的目的主机之间转发数据包，而两台目的主机对此毫无察觉。中间人攻击方式不仅对计算机有效，还可以扩展到路由器和网关设备，从而在路由器与主机之间使用中间人攻击。

克隆攻击

克隆攻击是另外一种ARP欺骗的方式。我们已经可以通过硬件或软件工具来修改网络接口的MAC地址，Linux用户甚至只需要用ifconfig命令修改一个参数就能修改网络接口的MAC地址。攻击者通过拒绝服务攻击使目标主机与外界失去联系，然后攻击者将自己的IP和MAC地址改成目标机的IP和MAC地址，这样攻击者的主机就成为和目标机一样的副本。