ARP攻击

ARP （地址解析协议）
地址解析协议，即ARP（Address Resolution Protocol），是根据IP地址获取物理地址的一个TCP/IP协议。主机发送信息时将包含目标IP地址的ARP请求广播到局域网络上的所有主机，并接收返回消息，以此确定目标的物理地址；收到返回消息后将该IP地址和物理地址存入本机ARP缓存中并保留一定时间，下次请求时直接查询ARP缓存以节约资源。地址解析协议是建立在网络中各个主机互相信任的基础上的，局域网络上的主机可以自主发送ARP应答消息，其他主机收到应答报文时不会检测该报文的真实性就会将其记入本机ARP缓存；由此攻击者就可以向某一主机发送伪ARP应答报文，使其发送的信息无法到达预期的主机或到达错误的主机，这就构成了一个ARP欺骗。ARP命令可用于查询本机ARP缓存中IP地址和MAC地址的对应关系、添加或删除静态对应关系等。相关协议有RARP、代理ARP。NDP用于在IPv6中代替地址解析协议。

ARP 攻击
ARP协议存在很多漏洞和不足，给计算机网络造成很大的隐患。首先ARP协议是以广播方式发送ARP请求的，只要是同一个网段内主机都可以收到，这就为攻击者以可乘之机，攻击者可以发送大量的ARP请求包，阻塞正常网络宽带，使局域网中有限的网络资源被无用的广播信息所占用，造成网络拥堵；其次ARP协议没有安全认证机制，因为局域网内主机是建立在信任的基础上的，所以只要主机接收到ARP应答包，都会缓存在ARP表中，这就为ARP欺骗提供了可能。攻击者可以发送错误的IP地址MAC地址的映射关系。

攻击原理
1、交换网络的嗅探
假设有i台主机A，B，C位于同一个交换式局域网中，监听者主机为A，而主机B、c正在进行通信，
ARP攻击
ARP攻击
A希望能嗅探到B与c之间的通信数据，于是A就可以伪装成c对B做ARP欺骗，向B发送伪造的ARP应答包，在这个伪造的应答包中，IP地址为c的IP地址，而MAC地址为A的MAC地址：B在接收到这个应答包后，会刷新它的ARP缓存，这样在B的ARP缓存表中就出现了c的IP地址对应的是A的MAC地址，说详细点，就是让B认为c的IP地址映射到的MAC地址为主机A的MAC地址，这样，B想要发送给C的数据实际上却发送给了A，这样就达到了嗅探的目的。黑客就可以利用这种手段盗取网络上的重要信息。
2、IP地址冲突
当网络内部有计算机中了ARP病毒，网络内其他计算机就会经常弹出IP地址冲突的警告：这是怎么产生的呢?比如某主机B规定IP地址为192.168.1.18，如果它处于开机状态，那么其他主机D也把它的IP地址改为192.168.1.18就会造成IP地址冲突。其原理就是：主机D在连接网络(或更改IP地址)的时候它就会向网络内部发送ARP广播包，告诉其他计算机自己的IP地址。如果网络内部存在相同IP地址的主机B，那么B就会通过ARP来作出应答，当D接收到这个应答数据包后，D就会跳出IP地址冲突的警告，B也会弹出IP地址冲突警告：因此用ARP欺骗可以来伪造这个ARPReply，使目标主机一直受到IP地址冲突警告的闲扰。
3、阻止目标的数据包通过网关
比如在一个局域网内通过网关上网，那么局域网内部的计算机上的ARP缓存中就存在网关IP-MAC对应记录。如果该记录被ARP病毒更改，那么该计算机向外发送的数据包就会发送到了错误的网关硬件地址上。这样．该计算机就无法上网了。