ARP攻击与防护完全手册

核心提示： 2.2.1欺骗原理假设一个网络环境中，网内有三台主机，ARP攻击与防护完全手册(3)，分别为主机A、B、C，主机详细信息如下描述：A的地址为：IP：192.168.10.1 MAC: AA-AA-AA-AA-AA-AAB的地址为：IP：192.168.10.2 MAC: BB-BB-BB-

2.2.1欺骗原理

假设一个网络环境中，网内有三台主机，分别为主机A、B、C。主机详细信息如下描述：

A的地址为：IP：192.168.10.1 MAC: AA-AA-AA-AA-AA-AA

B的地址为：IP：192.168.10.2 MAC: BB-BB-BB-BB-BB-BB

C的地址为：IP：192.168.10.3 MAC: CC-CC-CC-CC-CC-CC

正常情况下A和C之间进行通讯，但是此时B向A发送一个自己伪造的ARP应答，而这个应答中的数据为发送方IP地址是192.168.10.3（C的IP地址），MAC地址是BB-BB-BB-BB-BB-BB（C的MAC地址本来应该是CC-CC-CC-CC-CC-CC，这里被伪造了）。当A接收到B伪造的ARP应答，就会更新本地的ARP缓存（A被欺骗了），这时B就伪装成C了。同时，B同样向C发送一个ARP应答，应答包中发送方IP地址四192.168.10.1（A的IP地址），MAC地址是BB-BB-BB-BB-BB-BB（A的MAC地址本来应该是AA-AA-AA-AA-AA-AA），当C收到B伪造的ARP应答，也会更新本地ARP缓存（C也被欺骗了），这时B就伪装成了A。这样主机A和C都被主机B欺骗，A和C之间通讯的数据都经过了B。主机B完全可以知道他们之间说的什么：）。这就是典型的ARP欺骗过程。

注意：一般情况下，ARP欺骗的某一方应该是网关。

2.2.2两种情况

ARP欺骗存在两种情况：一种是欺骗主机作为“中间人”，被欺骗主机的数据都经过它中转一次，这样欺骗主机可以窃取到被它欺骗的主机之间的通讯数据；另一种让被欺骗主机直接断网。

◆第一种：窃取数据（嗅探）

通讯模式：

应答 -> 应答 -> 应答 -> 应答 -> 应答 -> 请求 -> 应答 -> 应答 ->请求->应答...

描述：

这种情况就属于我们上面所说的典型的ARP欺骗，欺骗主机向被欺骗主机发送大量伪造的ARP应答包进行欺骗，当通讯双方被欺骗成功后，自己作为了一个“中间人“的身份。此时被欺骗的主机双方还能正常通讯，只不过在通讯过程中被欺骗者“窃听”了。