本章目录

1. ARP协议
　　1.1 ARP协议概述
　　1.2 ARP协议过程
2. ARP攻击原理
3. ARP欺骗原理
　　3.1 ARP欺骗主机
　　3.2 ARP欺骗网关
　　3.3 查找被ARP攻击的计算机
4. ARP绑定过程

1.ARP协议

　　　　地址解析协议，即ARP（Address Resolution Protocol），是根据IP地址获取物理地址的一个TCP/IP协议。主机发送信息时将包含目标IP地址的ARP请求广播到局域网络上的所有主机，并接收返回消息，以此确定目标的物理地址；收到返回消息后将该IP地址和物理地址存入本机ARP缓存中并保留一定时间，下次请求时直接查询ARP缓存以节约资源。

　　1.1 ARP协议概述

• IP地址与MAC地址的通信
• Address Resolution Protocol，地址解析协议
• 将一个已知的IP地址解析成MAC地址

　　1.2 ARP协议过程

　　　　（1）PC1发送数据给PC2，查看缓存没有PC2的MAC地址；

　　　　（2）PC1发送ARP请求信息（广播）；

　　　　（3）所有主机收到ARP请求信息；

• PC2回复ARP应答（单播）
• 其他主机丢弃

　　　　（4）PC1将PC2的MAC地址保存到缓存中，发送数据。

2.  ARP攻击原理

　　（1）欺骗其他所有计算机；
　　（2）欺骗被攻击计算机。

3. ARP欺骗原理

　　　　地址解析协议是建立在网络中各个主机互相信任的基础上的，它的诞生使得网络能够更加高效的运行，但其本身也存在缺陷：
　　　　ARP地址转换表是依赖于计算机中高速缓冲存储器动态更新的，而高速缓冲存储器的更新是受到更新周期的限制的，只保存最近使用的地址的映射关系表项，这使得攻击者有了可乘之机，可以在高速缓冲存储器更新表项之前修改地址转换表，实现攻击。ARP请求为广播形式发送的，网络上的主机可以自主发送ARP应答消息，并且当其他主机收到应答报文时不会检测该报文的真实性就将其记录在本地的MAC地址转换表，这样攻击者就可以向目标主机发送伪ARP应答报文，从而篡改本地的MAC地址表。

　　　　ARP欺骗可以导致目标计算机与网关通信失败，更会导致通信重定向，所有的数据都会通过攻击者的机器，因此存在极大的安全隐患。

　　3.1 ARP欺骗主机

　　3.2 ARP欺骗网关

 　　3.3 查找被ARP攻击的计算机

　　　　（1）MAC地址为真实计算机地址

• 查看网络信息记录表迅速定位计算机

　　　　（2）MAC地址为虚假地址

• 查看交换机的MAC地址表（ipconfig /all），确定此MAC所属端口

4. ARP绑定过程

　　　　（1）管理员模式运行命令提示符（cmd）

• 输入： netsh i i show in （查看网络信息）

　　　　（2）查看自己所连网络的MAC地址

• 输入： arp -a（查询系统中缓存的ARP表）

　　　　（3）对ARP进行静态绑定

• 输入： netsh -c "i i" add neighbors 16 "192.168.1.1" "c0-a5-dd-4b-6b-8d"
• （netsh -c i i add neighbors 接口号 网关ip 网关MAC）

　　　　（4）若想解除对ARP的绑定

• 输入：netsh (-c）i i delete neighbors 接口 网关ip 网关MAC