ARP欺骗与嗅探原理

ARP

地址解析协议，即ARP（Address Resolution Protocol），是根据IP地址获取物理地址的一个TCP/IP协议。主机发送信息时将包含目标IP地址的ARP请求广播到局域网络上的所有主机，并接收返回消息，以此确定目标的物理地址；收到返回消息后将该IP地址和物理地址存入本机ARP缓存表中并保留一定时间，下次请求时直接查询ARP缓存表以节约资源。

嗅探

一般指嗅探器窃听网络上流经的数据包。在使用hub(集线器)的共享式网络中，数据包会广播至各台电脑，但是只有目标电脑才会接收数据包。其他电脑则不会理会这些不是发送给自己的数据包。可以通过让自己的网卡处于混杂模式，接收所有经过网卡的数据包，并从中分析出用户的帐户、密码等资料。

然而嗅探只适用于共享式网络。随着使用交换机的交换式网络的普及，只有少量真正需要广播的数据包，才会传至每一个节点，其他的内容都不再广播至整个网络。

ARP欺骗

ARP欺骗（英语：ARP spoofing），又称ARP毒化（ARP poisoning，网络上多译为ARP病毒）或ARP攻击，是针对以太网地址解析协议（ARP）的一种攻击技术，通过欺骗局域网内访问者PC的网关MAC地址，使访问者PC错以为攻击者更改后的MAC地址是网关的MAC，导致网络不通。此种攻击可让攻击者获取局域网上的数据包甚至可篡改数据包，且可让网络上特定计算机或所有计算机无法正常连线。

上面提到过了ARP缓存表，在每台主机都有一个ARP缓存表，缓存表中记录了IP地址与MAC地址的对应关系，而局域网数据传输依靠的是MAC地址。

局域网络上的主机可以自主发送ARP应答消息，其他主机收到应答报文时不会检测该报文的真实性就会将其记入本机ARP缓存表，如果原有相同IP对应关系，原有的则会被替换；由此攻击者就可以向某一主机发送伪ARP应答报文，使其发送的信息无法到达预期的主机或到达错误的主机，这就构成了一个ARP欺骗。

参考：
百度百科
arp欺骗原理：arp欺骗原理_haodawei123的博客-优快云博客_arp欺骗
交换网络中的嗅探和ARP欺骗-ARP原理：交换网络中的嗅探和ARP欺骗-ARP原理_协议分析网