ARP协议攻击与欺骗的原理_简述arp欺骗攻击原理

一、ARP协议

1、ARP协议概述

在局域网中，交换机通过MAC地址进行通信，要获得目的主机的MAC地址就需要使用ARP协议将目的IP地址解析成目的MAC地址。所以，ARP（A的dressR二solutionP融通从来，地址解析协议）的基本功能是负责将一个已知的IP地址解析成MAC地址，以便在交换机上通过MAC地址进行通信。

2、ARP工作原理

（1）主机PC1想要发数据给主机PC2，首先查看ARP缓存表中有没有主机PC2的MAC地址。
（2）如果发现要查找的MAC地址不在表中，主机PC1发送ARP请求消息（广播）,用于发现目的地的MAC地址。。ARP请求消息中包括PC1的IP地址和MAC地址以及PC2的IP地址和目的MAC地址（此时为广播MAC地址FF-FF-FF-FF-FF-FF)。
（3）交换机收到广播后做泛洪处理，除PC1外所有主机收到ARP请求消息，并且检查是否与自己的IP地址匹配。如果主机发现请求的IP地址与自己的IP地址不匹配，它将丢弃ARP请求。
（4）主机PC2确定ARP请求中的IP地址与自己的IP地址匹配，则将主机A的IP地址和MAC地址映射添加到本地ARP缓存中。同时将主机PC2的IP地址和MAC地址作为源地址，将PC1的IP地址和MAC地址作为目标地址发送一个ARP应答，来告诉PC1自己的MAC地址（这个数据帧是单播）。
（5）PC1接受到这个回应的数据帧后，在自己的ARP表中添加PC2的IP地址和MAC地址的对应关系。在这个过程中，Switch（交换机）以及学习到了PC1和PC2的MAC地址，之后传输数据时，PC1和PC2之间将使用单播方式。

——广播地址与广播域
广播：将广播地址作为目的地址的数据帧广播域：网络中能够收到同一个广播的所有结点的集合
广播地址为FF-FF-FF-FF-FF-FF

——ARP缓存表

ARP缓存表是主机存储在内存中的一个IP地址和MAC地址对应表。在Windows操作系统中可以使用“arp-a”命令来显示ARP缓存表。
Windows操作系统中ARP缓存表的格式如下：

3、ARP相关命令

(1)Windows系统中的ARP命令

arp -a  ###查看ARP缓存表
arp -d[IP] ###清除ARP缓存
arp -s IP MAC ###ARP静态绑定
1
2

动态学习到的ARP的老化时间是120s，并且静态绑定的ARP条目在计算机关机或重启后会消失。
(2)华为系统中的ARP命令

[Huawei]dis mac-address              ###查看mac地址信息
[Huawei]arp static <IP><MAC>       ###绑定ARP
[Huawei]undo arp static <IP> <MAC>  ###解绑定
<Huawei>reset arp all                ###清除mac地址表
1
2
3

二、ARP攻击与ARP欺骗的原理和应用

1、ARP攻击原理

一般情况下，ARP攻击的主要目的是使网络无法正常通信，主要包括以下两种攻击行为。
（1）攻击主机制造假的ARP应答，并发送给局域网中除被攻击主机以外的所有主机。ARP应答中包含被攻击主机的IP地址和虚假的MAC地址。
（2）攻击主机制造假的ARP应答，并发送给被攻击主机。ARP应答中包含除被攻击主机以外的所有主机的IP地址和虚假的MAC地址。
只要执行上述ARP攻击行为中的任一种，就可以实现被攻击主机和其他主机无法通信。

2、ARP欺骗原理

ARP欺骗是通过冒充网关或其他主机使得到达网关或主机的流量通过攻击手段进行转发。从而控制流量或得到机密信息。ARP欺骗不是真正使网络无法正常通信，而是ARP欺骗发送虚假信息给局域网中其他的主机，这些信息中包含网关的IP地址和主机的MAC地址；并且也发送了ARP应答给网关，当局域网中主机和网关收到ARP应答更新ARP表后，主机和网关之间的流量就需要通过攻击主机进行转发。