信息安全学习-ARP欺骗

ARP欺骗：

1、ARP是什么？
地址解析协议，即根据IP地址获取物理地址的一个TCP/IP协议，（在OSI模型中属于链路层，在TCP/IP模型中属于网络层，实际上是介于网络层和链路层之间），主机发送信息时将包含目标IP地址的ARP请求广播到网络上的所有主机，并接收返回消息，以此来确定目标的物理地址。
举例：快递员A收到一个索引号（IP地址）为123的包裹，他想了一下（查自己的ARP高速缓存表）,还是不知道这个包裹应该发送到哪个快递员，所以拿着这个索引号去问快递点（局域网内）内所有快递员（全部主机），快递员B恰好发现这个索引号的包裹是给自己的，就把这个反馈给快递员A，快递员A知道这个包裹应该转交给谁后，短时间内会将这索引号和快递员对应上（本机ARP高速缓存表）,下次还收到这个索引号的包裹就可以直接转给快递员B。

2、ARP欺骗的起因？
是因为ARP协议本身建立在网络中各个主机互相信任的基础上，网络上的主机可以自主发送ARP应答消息，其他主机收到应答报文时不会检测该报文的真实性就会将其记入本机ARP缓存。故攻击者可以向某一个主机发送伪ARP应答报文，使其发送的信息无法到达预期的主机或到达错误的主机。
举例：假设快递点中，大家统一认为穿着快递服的就是快递员，那么你说的话我就可以全部相信，并记忆下来。这个时候如果混入一个骗子，他也穿着快递员的衣服，快递员A去问他：“这个索引号的包裹你知道要给谁么？”，骗子穿着B快递服回复：“这个索引号的包裹你要给我（错误的主机）”，由于快递员的信任，所以他认为这个对应关系是正确的，不假思索的就记忆下来。

3、常见的ARP欺骗：
瘫痪网络欺骗：多次发送ARP应答包给主机/网关（内容为伪装的IP地址和错误的网关MAC地址）利用ARP表更新机制，欺骗主机/网关
中间人欺骗：先向主机A发送ARP应答包，内容为正确的网关IP和伪装主机的MAC地址，使主机A的数据包发送给伪装主机，然后再向网关发送ARP应答包，内容为正确的主机A-IP地址和伪装主机的MAC地址，使网关的数据包发送给伪装主机。
举例：快递员B和骗子同时收到快递员A的询问，快递员B回复：“这个索引号的包裹应该发送给我”，但是快递员B比较忙只回复一次，而骗子很悠闲，天天在哪里喊：“这个索引号的包裹应该发送给我”，尽管刚开始快递员A收到B的回复，但是后来听了骗子的说法，更新了自己的记忆，所以还是会把包裹发送给骗子，这个时候骗子有两种选择，一种是直接丢掉这个包（错误的MAC地址），让快递员A背锅，另一种是再次欺骗快递总管（网关），作为一名中间人，转交快递总管和快递员A之间的包裹，这种产生的危害更大。

4、ARP欺骗的防御
主机层面的防御：
i：主动：主机定期向网络中发送查询自己IP地址的ARP报文，如果收到另一个ARP响应报文，则说明有ARP欺骗
ii：静态：通过设置静态MAC-IP对应表，禁止主机更新转换表
iii：网关的防御：网关收到ARP响应后，通过RARP进行反向查询，如果IP地址不通，则说明存在ARP欺骗

举例：
i：主动：快递员A拿着自己负责的索引号包裹，去问别人这个包裹应该发给谁，如果有人回复的话，就说明那个人是骗子。钓鱼执法！！！
ii：静态：快递员将索引号和负责的快递员的对应关系写在纸上，根据这张纸来转发包裹，不相信别人说的任何话。
iii：网关的防御：快递总管收到快递员A的话后，拿着快递员的编号去问快递员：”你负责的索引号是多少？“如果快递员回答的结果和你之前收到的信息不一样，则说明这个快递员存在问题
网络层面的防御：
i：配置ARP服务器，通过该服务器查找自己的ARP转换表来响应其他机器的ARP广播
ii：使用网络嗅探工具连续检测网络中主机硬件地址与IP地址的对应关系

举例：
i：专门分配一个快递员H来负责管理对应关系，所有人要向询问对应关系的话，就只认准快递员H的信息就行了。所有人都不需要记忆对应关系
ii：专门配置一个神探007，核对快递员的编号和索引号