ARP欺骗的原理、步骤和危害

网络上关于ARP的原理、步骤等内容已经有很多文档了，此次整理这篇博文是为《 ARP欺骗引发的“冤案”——质问电信通IDC的服务质量 》一文附上相关文章。

 

ARP欺骗的原理：
ARP欺骗包是通过一个恶毒的程序自动发送的，正常的TCP/IP网络是不会有这样的错误包发送的，而人工发送又比较麻烦。也就是说当***没有运行这个恶毒程序的话，网络上通信应该是一切正常的，保留在各个连接网络计算机上的ARP缓存表也应该是正确的，只有程序启动开始发送错误ARP信息以及ARP欺骗包时才会让某些计算机访问网络出现问题。
 
欺骗步骤举例如下：
Step1：假设一个交换机连接了3台机器，依次是服务器A，B，C。
A服务器：IP的地址为：192.168.1.1 MAC: AA-AA-AA-AA-AA-AA
B服务器：IP的地址为：192.168.1.2 MAC: BB-BB-BB-BB-BB-BB
C服务器：IP的地址为：192.168.1.3 MAC: CC-CC-CC-CC-CC-CC

Step2：正常情况下在A服务器上运行ARP -A查询ARP缓存表应该出现如下信息。
Interface: 192.168.1.1 on Interface 0x1000003 Internet Address Physical Address Type 192.168.1.3 CC-CC-CC-CC-CC-CC dynamic

Step3：在B服务器上运行ARP欺骗程序，来发送ARP欺骗包。
B向A发送一个由B自己伪造的ARP应答，而这个应答中的数据为发送方IP地址是192.168.1.3(C的IP地址)，MAC地址是DD-DD-DD-DD-DD-DD(C的MAC地址本来应该是CC-CC-CC-CC-CC-CC，这里被伪造了)。当A接收到B伪造的ARP应答，就会更新本地的ARP缓存(A不知道被伪造了)。而且A不知道其实是从B发送过来的，A这里只192.168.1.3(C的IP地址)和无效的DD-DD-DD-DD-DD-DD mac地址。
Step4：欺骗完毕后在A服务器上运行cmd 窗口中输入“arp -a”来查询ARP缓存信息。你会发现原来正确的信息现在已经出现了错误。
Interface: 192.168.1.1 on Interface 0x1000003 Internet Address Physical Address Type 192.168.1.3 DD-DD-DD-DD-DD-DD dynamic

从上面的介绍可以清楚的明白网络中传输数据包最后都是要根据MAC地址信息的，也就是说虽然网络日常通讯都是通过IP地址，但是最后还是需要通过ARP协议进行地址转换，将IP地址变为MAC地址。而上面例子中在A服务器上的关于C服务器的MAC地址已经错误了，所以即使以后从A服务器访问C服务器这个192.168.1.3这个地址也会被ARP协议错误的解析成MAC地址为DD-DD-DD-DD-DD-DD的。

问题也会随着ARP欺骗包针对网关而变本加厉，当网络中一台服务器，反复向其他服务器，特别是向网关，发送这样无效假冒的ARP应答信息包时，严重的网络堵塞就会开始。由于网关MAC地址错误，所以从网络中计算机发来的数据无法正常发到网关，自然无法正常上网。这就造成了无法访问外网的问题，另外由于很多时候网关还控制着我们的局域网LAN上网，所以这时我们的LAN访问也就出现问题了。
 
ARP欺骗的危害：
ARP欺骗可以造成内部网络的混乱，让某些被欺骗的Server无法正常访问内外网络，使网关无法和客户端正常通信。实际上他的危害还不仅仅如此，一般来说IP地址的冲突我们可以通过多种方法和手段来避免，而ARP协议工作在更低层，隐蔽性更高。系统并不会判断ARP缓存的正确与否，无法像IP地址冲突那样给出提示。而且很多***工具例如网络剪刀手等，可以随时发送ARP欺骗数据包和ARP恢复数据包，这样就可以实现在一台Server上通过发送ARP数据包的方法来控制网络中任何一台Server的网络链路，甚至还可以直接对网关进行***，让所有连接网络的计算机都无法正常上网。所以说ARP欺骗的危害是巨大的，而且非常难对付，必须在其发生之前利用网络设备的部署策略(VLAN、IP+MAC绑定)加以避免。