了解ARP的攻击原理 阻止ARP攻击

鸿鹄

你是否遇到过在局域网中上网时会突然掉线，过一段时间后又会恢复正常。或者是客户端状态频频变红，用户频繁断网，IE浏览器频繁出错，以及一些常用软件出现故障等。又或者是你所在的局域网是通过身份认证上网的，会突然出现可认证，但不能上网的现象(无法ping通网关)。如果出现了上述状况，那你要小心了，因为你很可能受到了ARP的攻击。
　　那么什么是ARP呢?如何受到攻击的?该怎么解决呢?下文将给你进行一一解答。
　　一 什么是ARP：
　　ARP是“Address Resolution Protocol”(地址解析协议)的缩写。在局域网中，网络中实际传输的是“帧”，帧里面是有目标主机的MAC地址的。在以太网中，一个主机和另一个主机进行直接通信，必须要知道目标主机的MAC地址。但这个目标MAC地址是如何获得的呢?它就是通过地址解析协议获得的。所谓“地址解析”就是主机在发送帧前将目标IP地址转换成目标MAC地址的过程。ARP协议的基本功能就是通过目标设备的IP地址，查询目标设备的MAC地址，以保证通信的顺利进行。
　　二 ARP的工作原理：
　　只有了解了ARP的工作原理，我们才能更有效地阻止ARP的攻击。简单地说，ARP的原理就是：首先，每台主机都会在自己的ARP缓冲区中建立一个 ARP列表，以表示IP地址和MAC地址的对应关系。当源主机需要将一个数据包要发送到目的主机时，会首先检查自己 ARP列表中是否存在该 IP地址对应的MAC地址，如果有﹐就直接将数据包发送到这个MAC地址;如果没有，就向本地网段发起一个ARP请求的广播包，查询此目的主机对应的MAC地址。此ARP请求数据包里包括源主机的IP地址、硬件地址、以及目的主机的IP地址。网络中所有的主机收到这个ARP请求后，会检查数据包中的目的IP是否和自己的IP地址一致。如果不相同就忽略此数据包;如果相同，该主机首先将发送端的MAC地址和IP地址添加到自己的ARP列表中，如果ARP表中已经存在该IP的信息，则将其覆盖，然后给源主机发送一个 ARP响应数据包，告诉对方自己是它需要查找的MAC地址;源主机收到这个ARP响应数据包后，将得到的目的主机的IP地址和MAC地址添加到自己的ARP列表中，并利用此信息开始数据的传输。如果源主机一直没有收到ARP响应数据包，表示ARP查询失败。
　　下面举个简单的例子：
　　假设A的地址为：IP：192.168.10.1 MAC: AA-AA-AA-AA-AA-AA
　　假设B的地址为：IP：192.168.10.2 MAC: BB-BB-BB-BB-BB-BB
　　那么根据上面的原理，我们简单说明这个过程：A要和B通讯，A就需要知道B的MAC地址，于是A发送一个ARP请求广播(谁是192.168.10.2 ，请告诉192.168.10.1)，当B收到该广播，就检查自己，结果发现和自己的一致，然后就向A发送一个ARP单播应答(192.168.10.2 在BB-BB-BB-BB-BB-BB)。

welinker448