ARP攻擊:位于TCP/IP協議棧中的網絡層-中文百科頻道

名詞解釋

ARP（Address Resolution Protocol），即地址解析協議，是根據IP地址解析物理地址的一個TCP/IP協議。主機将包含目标IP地址信息的ARP請求廣播到網絡中的所有主機，并接收返回消息，以此确定目标IP地址的物理地址；收到返回消息後将該IP地址和物理地址存入本機ARP緩存中并保留一定時間，以便下次請求時直接查詢ARP緩存以節約資源。

在局域網中，主機和主機之間的通訊是通過MAC地址來實現的，而主機的MAC地址是通過ARP協議獲取的。ARP負責将網絡中的IP地址轉換為MAC地址，來保證局域網中的正常通訊。在局域網中實際傳輸的是“幀”，裡面包含目标主機的MAC地址。每個安裝以太網和TCP/IP的計算機都有一個ARP緩存表，緩存表裡保存的IP地址和MAC地址是相互對應的。ARP協議的基本功能就是執行地址解析，以保證通信的順利進行。

工作原理

ARP病毒并不是某一種真正的病毒，而是對利用ARP協議的漏洞進行傳播的一類病毒的總稱。ARP協議是TCP/IP協議組的一個協議，這個協議是建立在局域網上主機相互信任的基礎上的，局域網中的主機可以自主發送ARP應答消息，其他主機收到應答報文時不會檢測該報文的真實性并直接将其記入本機ARP緩存。ARP緩存表采用的是機械制原理，如果表中的某一列長時間不使用，就會被删除。也就是說ARP的緩存表是可以被更改的。表中的IP地址和MAC地址也是随時可以修改，這樣在局域網中很容易被ARP欺騙。通常此類攻擊的手段有兩種：路由欺騙和網關欺騙。

定義

ARP攻擊是利用ARP協議設計時缺乏安全驗證漏洞來實現的，通過僞造ARP數據包來竊取合法用戶的通信數據，造成影響網絡傳輸速率和盜取用戶隐私信息等嚴重危害。

ARP攻擊主要是存在于局域網網絡中，局域網中若有一台計算機感染ARP木馬，則感染該ARP木馬的系統将會試圖通過“ARP欺騙”手段截獲所在網絡内其它計算機的通信信息，并因此造成網内其它計算機的通信故障。

局域網中比較常見的ARP攻擊包括：上網時斷時續，拷貝文件無法完成，局域網内的ARP包激增。出現不正常的MAC地址，MAC地址對應多個IP地址，網絡數據發不出去了，網上發送信息被竊取，個人PC中毒局域網内MAC地址泛洪使MAC地址緩存表溢出等問題。據包的協議地址不匹配，從而在網絡中産生大量的ARP。

在局域網環境中，ARP攻擊是主要的安全威脅，在傳統網絡中主要是通過靜态綁定的方式來解決，但是這種方式限制了網絡擴展的易用性。

攻擊原理

ARP攻擊主要是通過僞造IP地址和MAC地址進行欺騙。使以太網數據包的源地址、目标地址和ARP通信數量劇增導緻網絡中斷或中間人攻擊。ARP攻擊主要存在于局域網中。若其中一台計算機感染ARP病毒。就會試圖通過ARP欺騙截獲局域網内其他計算機的信息，造成局域網内的計算機通信故障。

1、交換網絡的嗅探

假設有台主機A，B，C位于同一個交換式局域網中，監聽者主機為A，而主機B、c正在進行通信，A希望能嗅探到B與c之間的通信數據，于是A就可以僞裝成c對B做ARP欺騙，向B發送僞造的ARP應答包，在這個僞造的應答包中，IP地址為c的IP地址，而MAC地址為A的MAC地址：B在接收到這個應答包後，會刷新它的ARP緩存，這樣在B的ARP緩存表中就出現了c的IP地址對應的是A的MAC地址，說詳細點，就是讓B認為c的IP地址映射到的MAC地址為主機A的MAC地址，這樣，B想要發送給C的數據實際上卻發送給了A，這樣就達到了嗅探的目的。黑客就可以利用這種手段盜取網絡上的重要信息。

2、IP地址沖突

當網絡内部有計算機中了ARP病毒，網絡内其他計算機就會經常彈出IP地址沖突的警告：這是怎麼産生的呢?比如某主機B規定IP地址為192.168.1.18，如果它處于開機狀态，那麼其他主機D也把它的IP地址改為192.168.1.18就會造成IP地址沖突。其原理就是：主機D在連接網絡（或更改IP地址）的時候它就會向網絡内部發送ARP廣播包，告訴其他計算機自己的IP地址。如果網絡内部存在相同IP地址的主機B，那麼B就會通過ARP來作出應答，當D接收到這個應答數據包後，D就會跳出IP地址沖突的警告，B也會彈出IP地址沖突警告：因此用ARP欺騙可以來僞造這個ARPReply，使目标主機一直受到IP地址沖突警告的困擾。

3、阻止目标的數據包通過網關

比如在一個局域網内通過網關上網，那麼局域網内部的計算機上的ARP緩存中就存在網關IP-MAC對應記錄。如果該記錄被ARP病毒更改，那麼該計算機向外發送的數據包就會發送到了錯誤的網關硬件地址上。這樣，該計算機就無法上網了。

攻擊分類

1、ARP泛洪攻擊

通過向網關發送大量ARP報文，導緻網關無法正常響應。首先發送大量的ARP請求報文，然後又發送大量虛假的ARP響應報文，從而造成網關部分的CPU利用率上升難以響應正常服務請求，而且網關還會被錯誤的ARP表充滿導緻無法更新維護正常ARP表，消耗網絡帶寬資源。

2、ARP欺騙主機的攻擊

ARP欺騙主機的攻擊也是ARP衆多攻擊類型中很常見的一種。攻擊者通過ARP欺騙使得局域網内被攻擊主機發送給網關的流量信息實際上都發送給攻擊者。主機刷新自己的ARP使得在自己的ARP緩存表中對應的MAC為攻擊者的MAC，這樣一來其他用戶要通過網關發送出去的數據流就會發往主機這裡，這樣就會造成用戶的數據外洩。

3、欺騙網關的攻擊

欺騙網關就是把别的主機發送給網關的數據通過欺騙網關的形式使得這些數據通過網關發送給攻擊者。這種攻擊目标選擇的不是個人主機而是局域網的網關，這樣就會攻擊者源源不斷的獲取局域網内其他用戶的數據．造成數據的洩露，同時用戶電腦中病毒的概率也會提升。

4、中間人攻擊

中間人攻擊是同時欺騙局域網内的主機和網關，局域網中用戶的數據和網關的數據會發給同一個攻擊者，這樣，用戶與網關的數據就會洩露。

5、IP地址沖突攻擊

通過對局域網中的物理主機進行掃描，掃描出局域網中的物理主機的MAC地址，然後根據物理主機的MAC進行攻擊，導緻局域網内的主機産生IP地址沖突，影響用戶的網絡正常使用。

攻擊演化

初期：ARP欺騙

這種有目的的發布錯誤ARP廣播包的行為，被稱為ARP欺騙。ARP欺騙，最初為黑客所用，成為黑客竊取網絡數據的主要手段。黑客通過發布錯誤的ARP廣播包，阻斷正常通信，并将自己所用的電腦僞裝成别人的電腦，這樣原本發往其他電腦的數據，就發到了黑客的電腦上，達到竊取數據的目的。

中期：ARP惡意攻擊

後來，有人利用這一原理，制作了一些所謂的“管理軟件”，例如網絡剪刀手、執法官、終結者等，這樣就導緻了ARP惡意攻擊的泛濫。往往使用這種軟件的人，以惡意破壞為目的，多是為了讓别人斷線，逞一時之快。

特别是在網吧中，或者因為商業競争的目的、或者因為個人無聊洩憤，造成惡意ARP攻擊泛濫。

随着網吧經營者摸索出禁用這些特定軟件的方法，這股風潮也就漸漸平息下去了。

末期：綜合的ARP攻擊

最近這一波ARP攻擊潮，其目的、方式多樣化，沖擊力度、影響力也比前兩個階段大很多。

首先是病毒加入了ARP攻擊的行列。以前的病毒攻擊網絡以廣域網為主，最有效的攻擊方式是DDOS攻擊。但是随着防範能力的提高，病毒制造者将目光投向局域網，開始嘗試ARP攻擊，例如最近流行的威金病毒，ARP攻擊是其使用的攻擊手段之一。

相對病毒而言，盜号程序對網吧運營的困惑更大。盜号程序是為了竊取用戶帳号密碼數據而進行ARP欺騙，同時又會影響到其他電腦上網。

欺騙攻擊

ARP欺騙原理

ARP欺騙是通過冒充網關或其他主機使得到達網關或主機的流量通過攻擊手段進行轉發。從而控制流量或得到機密信息。ARP欺騙不是真正使網絡無法正常通信，而是ARP欺騙發送虛假信息給局域網中其他的主機，這些信息中包含網關的IP地址和主機的MAC地址；并且也發送了ARP應答給網關，當局域網中主機和網關收到ARP應答更新ARP表後，主機和網關之間的流量就需要通過攻擊主機進行轉發。

基本形式

中間人攻擊

中間人攻擊是最典型的攻擊之一，受到黑客的中間人攻擊，可能會嚴重危害服務器和用戶。中間人攻擊就是攻擊者扮演中間人并且實施攻擊。它有時被稱為monkey-in-the-middle攻擊或man-in-the-mobile攻擊，是網絡監聽的一種方式。攻擊者進入兩台通信的計算機之間，這樣他就可以完成網絡數據包（以太網數據包）嗅探和分析，中間人計算機将在兩台互相通信的目的主機之間轉發數據包，而兩台目的主機對此毫無察覺。中間人攻擊方式不僅對計算機有效，還可以擴展到路由器和網關設備，從而在路由器與主機之間使用中間人攻擊。

克隆攻擊

克隆攻擊是另外一種ARP欺騙的方式。我們已經可以通過硬件或軟件工具來修改網絡接口的MAC地址，Linux用戶甚至隻需要用ifconfig命令修改一個參數就能修改網絡接口的MAC地址。攻擊者通過拒絕服務攻擊使目标主機與外界失去聯系，然後攻擊者将自己的IP和MAC地址改成目标機的IP和MAC地址，這樣攻擊者的主機就成為和目标機一樣的副本。