三分钟看懂ARP攻击原理简析及防御措施

      网络的诈骗攻击行为，目前正在逐渐被专业化，网络安全管理者感受到空前的压力，现在的网络安全已经不仅仅说是公共域名网络上的安全了，已经蔓延到每个人的电脑内部网络了，局域网的安全性正在被破坏。ARP攻击是最常见的，现在在局域网中被广泛的传播，进而导致网络的瘫痪，通讯被窃听，安全性降低。今天给大家介绍下ARP攻击原理和防御措施。

　　ox1什么是ARP

　　ARP是一种专业化的网络欺骗攻击行为，目前正在局域网中被广泛的传播，给人们带来了极大的不便，网络安全现在已经从互联网蔓延到用户内部的网络，ARP是普遍的一种攻击行为，当有用户的电脑被传染了这种攻击，进而会在整个局域网中广泛传播，导致网络的瘫痪，通讯被窃听，安全性降低。

　　0x2ARP协议概述

　　ARP协议（addressresolutionprotocol）地址解析协议

      主机与主机的通信，就相当于人与人之间的通话一样的，需要知道电话号码，对于主机来说，IP地址就是电话号码，但是很遗憾的是在局域网中，IP地址是对内的，就好比电话号码有属于哪个省的，哪个区的一样，局域网中要传输的数据的网关是不认识IP地址的，因此我们需要改IP地址加上“区号”，所以就有了ARP地址解析协议，RP解析协议将IP地址解析成MAC地址。ARP协议的基本功能就是通过目标设备的IP地址，来查询目标设备的mac地址。

　　在局域网的任意一台主机中，都有一个ARP缓存表，里面保存本机已知的此局域网中各主机和路由器的IP地址和MAC地址的对照关系。ARP缓存表的生命周期是有时限的（一般不超过20分钟）。

　　举个例子：假设局域网中有四台主机

　　主机A想和主机B通信

　　主机A会先查询自己的ARP缓存表里有没有B的联系方式，有的话，就将mac-b地址封装到数据包外面，发送出去。没有的话，A会向全网络发送一个ARP广播包，大声询问：我的IP地址是192.168.0.2，硬件地址是mac-a，我想知道IP地址是192.168.0.3的硬件地址是多少？此时，局域网内所有主机都收到了，B收到后会单独私密回应：我是192.168.0.3，我的硬件地址是mac-b，其他主机不会理A的此时A知道了B的信息，同时也会动态的更新自身的缓存表

　 0x3ARP协议的缺陷

　　ARP协议是建立在信任局域网内所有节点的基础上的，他的效率很高。但是不安全。它是无状态的协议。他不会检查自己是否发过请求包，也不知道自己是否发过请求包。他也不管是否合法的应答，只要收到目标mac地址是自己的ARPreply或者ARP广播包（包括ARPreply和ARPrequest），都会接受并缓存。

　　0x4ARP攻击原理

　　ARP欺骗攻击建立在局域网主机间相互信任的基础上的当A发广播询问：我想知道IP是192.168.0.3的硬件地址是多少？

　　此时B当然会回话：我是IP192.168.0.3我的硬件地址是mac-b，可是此时IP地址是192.168.0.4的C也非法回了：我是IP192.168.0.3,我的硬件地址是mac-c。而且是大量的。

　　所以A就会误信192.168.0.3的硬件地址是mac-c，而且动态更新缓存表这样主机C就劫持了主机A发送给主机B的数据，这就是ARP欺骗的过程。

　　假如C直接冒充网关，此时主机C会不停的发送ARP欺骗广播，大声说：我的ＩＰ是１９２.１６８.０.１，我的硬件地址是ｍａｃ－ｃ，此时局域网内所有主机都被欺骗，更改自己的缓存表，此时Ｃ将会监听到整个局域网发送给互联网的数据报。

　　0x5ARP病毒攻击形式

      通常表现：-打开网页速度非常慢，甚至打不开

　　-提示IP地址冲突

　　-甚至导致校园网瘫痪断网

　　-一般会绑定木马病毒，窃取用户账号密码

　　0x6ARP病毒攻击症状

　　1.从影响网络连接通畅的角度看

　　-对路由ARP表的欺骗

　　ARP病毒截获网关数据，让路由器获得错误的内网MAC地址，导致路由器把数据发送给错误的mac，是内网内的主机断网

　　-伪造内网网关

　　ARP病毒通过冒充网关，是内网计算机发送的数据无法到达真正的路由器网关，导致内网计算机断网

      2.从协议内部分析

　　-假冒ARPreply包（单波或广播），向单台主机或多台主机发送虚假的IP/MAC地址

　　-假冒ARPrequest包（单播或广播），实际上是单播或广播虚假的IP、MAC映射。

　　-假冒中间人，启用包转发向两端主机发送假冒的ARPreply，由于ARP缓存的老化机制，有时还需要做周期性连续性欺骗。

　　0x7ARP欺骗攻击监测技术

　　1.手动监测

　　网络管理员可以通过命令查看主机的ARP表或路由器的ARP表

　　也可以用Sniffer工具进行抓包，查看可疑的<IP，MAC>地址映射

　　2.动态监测

　　-被动监测（ARPwatch，ARPGuard）

　　仅监测网路中是否存在ARP欺骗，不主动向外发送ARP报文

　　-主动监测（ARP防火墙）

　　能够动态的监测局域网内针对本主机和针对网关的ARP欺骗，但如果配置错误，ARP防火墙会向局域网内发送大量的ARP报文，造成ARP报文的广播风暴，影响网络通信。

　　在这里推荐一款查看局域网Mac地址和主机IP匹配显示的软件：Nbtscan很好用网上也有使用说明，对于查找攻击主机很犀利、

　　0x8ARP欺骗攻击的防御

　　-采用支持ARP过滤的防火墙

　　-建立DHCP服务器

　　ARP攻击一般先攻击网关，将DHCP服务器建立在网关上

　　-ARP双向绑定

　　在pc端上IP+mac绑定

　　在网络设备（交换路由）上采用ip+mac+端口绑定

　　网关也进行IP和mac的静态绑定

　　-划分安全区域

　　ARP广播包是不能跨子网或网段传播的，网段可以隔离广播包。VLAN就是一个逻辑广播域，通过VLAN技术可以在局域网中创建多个子网，就在局域网中隔离了广播。。缩小感染范围。但是，安全域划分太细会使局域网的管理和资源共享不方便。

　　以上就是给大家介绍的关于ARP攻击的原理，知道了ARP的攻击原理机制后，掌握了基本的ARP病毒的形式和类型，相信我们对ARP有一定的了解，在这样的基础上，我们可以了解到ARP欺骗攻击监测技术，学会自己检测这样的技术，降低ARP的威胁。