ARP攻击与防护完全手册

核心提示： 例如：A的地址为：IP：192.168.10.1 MAC: AA-AA-AA-AA-AA-AAB的地址为：IP：192.168.10.2 MAC: BB-BB-BB-BB-BB-BB根据上面的所讲的原理，我们简单说明这个过程：A要和B通讯，ARP攻击与防护完全手册(2)，A就需要知道B的以

例如：

A的地址为：IP：192.168.10.1 MAC: AA-AA-AA-AA-AA-AA

B的地址为：IP：192.168.10.2 MAC: BB-BB-BB-BB-BB-BB

根据上面的所讲的原理，我们简单说明这个过程：A要和B通讯，A就需要知道B的以太网地址，于是A发送一个ARP请求广播（谁是192.168.10.2 ，请告诉192.168.10.1），当B收到该广播，就检查自己，结果发现和自己的一致，然后就向A发送一个ARP单播应答（192.168.10.2 在BB-BB-BB-BB-BB-BB）。

1.3ARP通讯模式

通讯模式（Pattern Analysis）：在网络分析中，通讯模式的分析是很重要的，不同的协议和不同的应用都会有不同的通讯模式。更有些时候，相同的协议在不同的企业应用中也会出现不同的通讯模式。ARP在正常情况下的通讯模式应该是：请求 -> 应答 -> 请求 -> 应答，也就是应该一问一答。

二、常见ARP攻击类型

个人认为常见的ARP攻击为两种类型：ARP扫描和ARP欺骗。

2.1ARP扫描（ARP请求风暴）

通讯模式（可能）：

请求 -> 请求 -> 请求 -> 请求 -> 请求 -> 请求 -> 应答 -> 请求 -> 请求 -> 请求...

描述：

网络中出现大量ARP请求广播包，几乎都是对网段内的所有主机进行扫描。大量的ARP请求广播可能会占用网络带宽资源；ARP扫描一般为ARP攻击的前奏。

出现原因（可能）：

病毒程序，侦听程序，扫描程序。

如果网络分析软件部署正确，可能是我们只镜像了交换机上的部分端口，所以大量ARP请求是来自与非镜像口连接的其它主机发出的。

如果部署不正确，这些ARP请求广播包是来自和交换机相连的其它主机。

2.2ARP欺骗

ARP协议并不只在发送了ARP请求才接收ARP应答。当计算机接收到ARP应答数据包的时候，就会对本地的ARP缓存进行更新，将应答中的IP和MAC地址存储在ARP缓存中。所以在网络中，有人发送一个自己伪造的ARP应答，网络可能就会出现问题。这可能就是协议设计者当初没考虑到的！