什麼是ARP欺騙攻擊?如何防禦？

上網時斷時續，有時甚至提示連線受限、根本無法獲得IP，交換機無法ping通，而指示燈狀態正常，重啟交換機後客戶機可以上網，但很快又濤聲依舊！嚴重影響了使用者使用，甚至給使用者造成了直接經濟損失。根據描述，電腦很可能遭受ARP個攻擊啦。那麼至於什麼是ARP欺騙，我們下面一起來看看。

一、ARP欺騙

ARP （Address Resolution Protocol）是地址解析協議，是一種將IP地址轉化成物理地址的協議。一些攻擊者透過利用ARP欺騙技術實現對資料的擷取和偵聽。ARP協議用於IP地址將MAC地址的轉換，此對映關係儲存在ARP快取表中，如ARP快取表被他人修改，則會導致傳送給正確主機的資料包傳送給另外一臺由攻擊者控制的主機。ARP欺騙（ARP spoofing），也叫ARP毒藥（ARP poison），即可完成這些功能。

假設攻擊者和目標主機在同一個區域網中，並且想要截獲和偵聽目標主機到閘道器間的所有資料。當然，對於使用集線器的區域網環境，攻擊者只需要把網絡卡設定為混雜模式即可。但是現在的區域網都是交換機了，不僅可以提高區域網的容量，而且可以提高安全性。在這種情況下，攻擊者首先會試探交換機是否存在失敗保護模式（fail-safe mode），是交換機所處的特殊模式狀態。交換機維護IP地址和MAC地址的對映關係時會花費一定處理能力，當網路通訊時出現大量虛假MAC地址時，某些型別的交換機會出現過載情況，從而轉換到失敗保護模式。若交換機不存在失敗保護模式，則需要使用ARP欺騙技術。

攻擊者主機需要兩塊網絡卡，IP地址分別是192。168。0。5和192。168。0。6，插入交換機的兩個埠，準備截獲和偵聽目標主機192。168。0。3和路由器192。168。0。1之間的所有通訊。另外攻擊者主機還需要有IP資料包轉發功能，此項功能在linux下只需要執行命令echo 1> /proc/sys/net/ipv4/ip_forward就可以。以192。168。0。4的網路通訊為例，正常的ARP轉換如下：

1。主機A192。168。0。4想要與路由器192。168。0。1通訊，從而接入Internet。

2。主機A以廣播的方式傳送ARP請求，希望得到路由器的MAC。

3。交換機收到ARP請求，並把此請求傳送給連線到交換機的各個主機。同時，交換機將更新它的MAC地址和埠之間的對映表，即將192。168。0。4繫結它所連線的埠。

4。路由器收到A的ARP請求後，發出帶有自身MAC地址的ARP響應。

5。路由器更新ARP快取表，繫結A的IP地址和MAC地址。

6。交換機收到了路由器對A的ARP響應後，查詢它的MAC地址和埠之間的對映表，把此ARP響應資料包傳送到相應的埠。同時，交換機更新它的MAC地址和埠之間的影射表，即將192。168。0。1繫結它所連線的埠。

7。主機A收到ARP響應資料包，更新ARP快取表，繫結路由器的IP地址和MAC地址。

8。主機A使用更新後的MAC地址資訊把資料傳送給路由器，通訊通道就此建立。

ARP欺騙需要攻擊者迅速地誘使目標主機192。168。0。3和路由器192。168。0。1都和它建立通訊，從而使自己成為中間人MiM（Man in Middle）。換句話說，攻擊者的主機此時相當於一個被攻擊者完全控制的路由器，目標主機和路由器之間的所有資料通訊都要由攻擊者主機轉發，攻擊者也就能對資料作各種處理。要達到同時欺騙目標主機和路由器的目的，攻擊者應開啟兩個命令介面，執行兩次ARP欺騙：一次誘使目標主機認為攻擊者的主機有路由器的MAC地址，這可以利用IP地址欺騙技術，偽造路由器的IP地址，從攻擊者主機的一塊網絡卡上傳送給目標主機ARP請求包，則錯誤的MAC地址和IP地址的對映將更新到目標主機；另一次使路由器相信攻擊者的主機具有目標主機的MAC地址，方法和前面相似。

二、WRP欺騙的特徵

ARP欺騙的特徵就是本機閘道器對應的地址資訊被欺騙，原來正確的地址被非法欺騙者篡改，非法欺騙者自己充當閘道器來達到ARP欺騙的目的。在有問題計算機上透過arp -a查詢ARP快取表會發現閘道器IP地址對應的MAC地址和正常時不同，正確的閘道器MAC地址被篡改。

總的來說閘道器MAC地址與正常地址不同是ARP欺騙的最大特徵，一旦確認此點就可以斷定內網中存在ARP欺騙病毒。

三、找到ARP欺騙主機

1。我們可以利用ARPkiller的“Sniffer殺手”掃描整個區域網IP段，然後查詢處在“混雜”模式下的計算機，就可以發現對方了。檢測完成後，如果相應的IP是綠帽子圖示，說明這個IP處於正常模式，如果是紅帽子則說明該網絡卡處於混雜模式。它就是我們的目標，就是這個傢伙在用網路執法官在搗亂。

2。使用tracert命令在任意一臺受影響的主機上，在DOS命令視窗下執行如下命令：tracert61。135。179。148。假定設定的預設閘道器為10。8。6。1，在跟蹤一個外網地址時，第一跳卻是10。8。6。186，那麼，10。8。6。186就是病毒源。原理：中毒主機在受影響主機和閘道器之間，扮演了“中間人”的角色。所有本應該到達閘道器的資料包，由於錯誤的MAC地址，均被髮到了中毒主機。此時，中毒主機越俎代庖，起了預設閘道器的作用。

四、ARP欺騙的防範：

中毒的網路，就會一直有傳送arp病毒包的，這些arp病毒包會誤導你的機器對閘道器mac地址的解析。所以需要繫結mac地址。兩種方法：

1．列出區域網內所有機器的MAC地址。

# arpAddress HWtype HWaddress Flags Mask Iface

192。168。1。1 ether 00：07：E9：2A：6F：C6，然後，繫結MAC地址， #arp -s 192。168。1。1 00：07：E9：2A：6F：C6

注意：假如使用者的閘道器設定了hostname的話，這裡192。168。1。1就有可能需要換成hostname。

2．建立一個/etc/ethers檔案，比如你要繫結閘道器，那就在/etc/ethers裡寫上：192。168。1。1 00：07：E9：2A：6F：C6，然後執行 #arp -f ，每次重啟機器後需要重新繫結MAC地址。

另外，mac地址的繫結需要雙向的，即機器a綁定了機器b，機器b也要繫結機器a，這樣arp病毒才會被徹底擋住。

並不是所有的內網上網故障都是由ARP欺騙病毒引起的，很多網路管理人員動不動就拿ARP欺騙病毒說事，希望本文可以幫助網管快速定位故障，不要以為ARP欺騙病毒是內網故障的締造者，要知道其他病毒，駭客入侵，驅動故障等問題也會造成內網上網故障，希望各位管理人員不要反覆從ARP欺騙下手解決所有故障問題，那樣只會走彎路，在故障排除時我們還是要保持一份平常冷靜的心。