解析中间人攻击之一－－-ARP缓存中毒

点击程序的标准工具栏上的+符号的图标以继续设置ARP中毒，显示的窗口有并排两个选择列，在左侧，你会看到所有有效主机的列表。点击其中一个 IP地址，你会看到，右边窗口显示的是网络中所有主机，而没有显示你所选择的IP地址。在右边窗口，点击另一个受害者的IP地址，然后点击确认。

图5：选择缓存中毒的攻击主机

这些设备的IP地址现在都被列在主要程序窗口的上表中，为了完成这个操作，请点击标准工具栏的黄黑色放射符号。这样将激活Cain & Abel的ARP缓存中毒功能并允许系统成为受害机器间所有通信的中间人。如果你很好奇背后发生的情况，可以安装wireshark并窃听接口，你很快会看到受害电脑间的通信。

图6：ARP通信注射

完成以上操作后，只要再次点击黄黑色发射符号就可以停止ARP缓存中毒。

防御ARP缓存中毒

从防御者的角度来看ARP缓存中毒攻击似乎处于不利的位置，ARP进程在后台进行，我们很难控制。并没有万能的解决方案，你可以采用主动和被动的立场来考虑ARP缓存中毒。

保护局域网安全

ARP缓存中毒的确是截取位于相同局域网的两台主机间的通信的可行的攻击技术，但只有当网络上的本地设备比破坏，受信任用户有恶意企图，或者某用户试图将不可信设备接入网络时，ARP缓存中毒攻击才可能造成真正的威胁。尽管我们往往将主要精力集中在保护网络外围安全上，但抵御内部威胁以及确保内部安全绝对可以更好的确保系统安全。

硬编码ARP缓存

抵御ARP请求和回复的动态本质所带来的威胁的方法是使这个进程不那么动态，这是因为windows系统主机允许其他静态表项进入ARP缓存，你可以通过打开命令提示符并输入arp-a命令来查看windows系统的ARP缓存。

图7：查看ARP缓存

可以通过使用这个命令arp –s 来添加表项到这个列表。

如果你的网络配置并不是经常变动，做静态ARP表项的列表并通过自动化脚本将表项部署到客户端是完全可行的。这可以确保设备始终依赖本地ARP缓存，而不是依赖ARP请求和回复。

使用第三方程序监测ARP通信

抵御ARP缓存中毒攻击的另一种方法是被动方法，监控主机的网络流量，这可以通过入侵检测系统(如Snort)或者其他监测工具(如xARP)来进行监控流量。对于一台主机而言，这可能是很简单的事情，但是对于整个网络而言就不是那么简单了。

总结

ARP缓存中毒是中间人攻击中最有效的攻击方式，因为它非常容易执行，对于现代网络是巨大的威胁，并且这种攻击方式很难检测和防御。