1、作者：PanHongliang封面僅供個人學習arp欺騙原理與防護技術研究姓名單位摘要：ARP協議對網絡安全具有極其重要的意義，通過偽造IP地址和MAC地址實現ARP欺騙，能夠在網絡中產生大量的ARP通信量使網絡阻塞。關鍵詞：ARP：欺騙原理：防護技術一、ARP協議簡介1、ARP協議概念ARP 協議(Address Resolution Protoco 1)即地址解讀協議, 該協議將網絡層的IP地址轉換為數據鏈路層地址。TCP IP協議 屮規定，IP地址為32位，由網絡號和網絡內的主機號構成，每 一臺接入局域網或者Internet的主機都要配置一個IP地址。在 以太網屮，源主機和目的主機通信時

2、，源主機不僅要知道目的主 機的IP地址，還要知道目的主機的數據鏈路層地址，即網卡的MAC地址，同時規定MAC地址為48位。ARP協議所做的工作就是 查詢目的主機的IP地址所對應的MAC地址，并實現雙方通信。2、基本功能在以太網協議屮規定，同一局域網屮的一臺主機要和另一臺主機進行直接通信，必須要知道目標主機的MAC地址。而在TCP/IP協議棧中，網絡層和傳輸層只關心目標主機的IP地址。這就導致在以太網屮使用IP協議時，數據鏈路層的以太網協議 接到上層IP協議提供的數據中，只包含目的主機的IP地址。于 是需要一種方法，根據目的主機的IP地址，獲得其MAC地址。這就是ARP協議要做的事情。所謂地址解

3、讀（address resolution）就是主機在發送幀前將目標IP地址轉換成目標MAC 地址的過程。3、工作原理在每臺安裝有TCP/IP協議的電腦里都有一個ARP緩存表，表里的IP地址與MAC地址是對應的。以主機A（192. 168. 1.23）向主機B （192. 168. 1. 1）發送數據為例。當 發送數據時，主機A會在自己的ARP緩存表中尋找是否有目標 IP地址。如果找到了，也就知道了目標MAC地址，直接把目標 MAC地址寫入幀里面發送就可以了；如果在ARP緩存表屮沒有找 到目標IP地址，主機A就會在網絡上發送一個廣播，A主機MAC 地址是“FF.FF. FF.FF.FF.FF”

4、,這表示向同一網段內的所有主 機發出這樣的詢問：“我是192. 168.1.5,我的硬件地址是 FF. FF. FF. FF. FF. FE”.請問 IP 地址為 192. 168. 1. 1 的 MAC 地址 是什么？ ”網絡上其他主機并不響應ARP詢問，只有主機B接收 到這個幀時，才向主機A做出這樣的回應：“192. 168. 1. 1的MAC 地址是00-眈-00-62-c6-09”。這樣，主機A就知道了主機B的 MAC地址，它就可以向主機B發送信息了。同時A和B還同時都 更新了自己的ARP緩存表（因為A在詢問的時候把自己的IP和 MAC地址一起告訴了 B）,下次A再向主機B或者B向A發

5、送信息 時，直接從各自的ARP緩存表里查找就可以了。ARP緩存表采用 了老化機制（即設置了生存時間TTL）,在一段時間內（一般15 到20分鐘）如果表屮的某一行沒有使用，就會被刪除，這樣可以大大減少ARP緩存表的長度，加快查詢速度。二、arp欺騙原理及遭受ARP欺騙攻擊后現象、危害1、arp欺騙原理ARP欺騙攻擊就是通過偽造IP地址和MAC地址實現ARP欺騙, 能夠在網絡屮產生大量的ARP通信量使網絡阻塞，攻擊者只要持 續不斷的發出偽造的ARP響應包就能更改目標主機ARP緩存屮的 IP-MAC條目，造成網絡中斷或屮間人攻擊。將ip地址轉換為mac地址是ARP的工作，在網絡屮發送虛 假的ARP

6、respones,就是ARP欺騙。ARP處理需要兩個信息來完 成數據傳輸，一個是IP地址，一個是MAC地址。所以當ARP傳 輸數據包到目的主機時，有其他主機故意頂替目的主機的MAC地 址，就造成了數據包不能準確到達。這就是所謂的ARP欺騙。在正常情況下每臺主機（包括網關）都有一個ARP緩存表， 這個緩存表能夠有效的保證數據傳輸的一對一性。但是在ARP緩 存表的實現機制屮存在一個不完善的地方，當主機收到一個ARP 的應答包后，它并不會去驗證自己是否發送過這個ARP請求，而 是直接將應答包里的MAC地址與IP對應的關系替換掉原有的ARP 緩存表里的相應信息。假如我們有兩個網段、三臺主機、兩個網關、

7、分別是： 主機名 IP地址MAC地址網關 1192. 168. 1. 101-01-01-01-01-01主機A192. 168. 1.202-02-02-02-02-02主機B192. 168. 1.303-03-03-03-03-03網關210. 1. 1. 104-04-04-04-04-04主機C10. 1. 1.205-05-05-05-05-05主機B截取主機A與主機C之間的數據通信成為可能。首先 主機B向主機A發送一個ARP應答包說192. 168. 1. 1的MAC地址 是03-03-03-03-03-03,主機A收到這個包后并沒有去驗證包的 真實性而是直接將自己ARP列表中的

8、192. 168. 1. 1的MAC地址替 換成03-03-03-03-03-03,同時主機B向網關1發送一個ARP響 應包說 192. 168. 1. 2 的 MAC 是 03-03-03-03-03-03,同樣網關 1 也沒有去驗證這個包的真實性就把自己ARP表中的192. 168. 1. 2 的MAC地址替換成03-03-03-03-03-03o當主機A想要與主機C 通訊時，它直接把應該發送給網關1(192.168.1.1)的數據包發 送到03-03-03-03-03-03這個MAC地址，也就是發給了主機B, 主機B在收到這個包后經過修改再轉發給真正的網關1,當從主 機C返回的數據包到達

9、網關1后，網關1也使用自己ARP表屮的 MAC ,將發往192. 168. 1.2這個IP地址的數據發往 03-03-03-03-03-03這個MAC地址也就是主機B,主機B在收到 這個包后再轉發給主機A完成一次完整的數據通訊，這樣就成功 的實現了一次ARP欺騙攻擊。因此簡單點說ARP欺騙的目的就是 為了實現全交換環境下的數據監聽與篡改。2、ARP欺騙的種類ARP欺騙分為二種，一種是對路由器ARP表的欺騙；另一種 是對內網PC的網關欺騙。第一種ARP欺騙的原理是一一截獲網 關數據。它通知路由器一系列錯誤的內網MAC地址，并按照一定 的頻率不斷進行，使真實的地址信息無法通過更新保存在路由器 屮，

10、結果路由器的所有數據只能發送給錯誤的MAC地址，造成正 常PC無法收到信息。第二種ARP欺騙的原理是一一偽造網關。 它的原理是建立假網關，讓被它欺騙的PC向假網關發數據，而 不是通過正常的路由器途徑上網。在PC看來，就是上不了網了，“網絡掉線了”。一般來說，ARP欺騙攻擊的后果非常嚴重，大 多數情況下會造成大面積掉線。3、遭受ARP欺騙攻擊時的現象ARP欺騙攻擊后現象表現為：使用局域網時會突然掉線，過一段 時間后又會恢復正常。比如客戶端狀態頻頻變紅，用戶頻繁斷網, IE瀏覽器頻繁出錯，以及一些常用軟件出現故障等。如果局域 網屮是通過身份認證上網的，會突然出現可認證，但不能上網的 現彖（無法pi

11、ng通網關），重啟機器或在MS-DOS窗口下運行命 令址p -d后，又可恢復上網。4、遭受ARP欺騙攻擊的危害ARP欺騙攻擊只需成功感染一臺電腦，就可能導致整個局域 網都無法上網，嚴重的甚至可能帶來整個網絡的癱瘓。發作時除 了會導致同一局域網內的其他用戶上網出現時斷時續的現象外， 還會竊取用戶密碼，如盜取QQ密碼、盜取各種網絡游戲密碼和 賬號去做金錢交易，盜竊網上銀行賬號來做非法交易活動等給用 戶造成了很大的不便和巨大的經濟損失。三、arp欺騙防護技術初探1、arp欺騙攻擊的發現局域網內一旦有ARP的攻擊存在，會欺騙局域網內所有主機和網 關，讓所有上網的流量必須經過ARP攻擊者控制的主機。其他

12、用 戶原來直接通過網關上網，現在卻轉由通過被控主機轉發上網。 由于被控主機性能和程序性能的影響，這種轉發并不會非常流 暢，因此就會導致用戶上網的速度變慢甚至頻繁斷線。另外ARP 欺騙需要不停地發送ARP應答包，會造成網絡擁塞。一旦懷疑有ARP攻擊，我們就可以使用抓包工具來抓包，如 果發現網內存在大量ARP應答包，并且將所有的IP地址都指向 同一個MAC地址，那么就說明存在ARP欺騙攻擊，并且這個MAC 地址就是用來進行ARP欺騙攻擊的主機MAC地址，我們可以查出 它對應的真實IP地址，從而采取相應的控制措施。另外，我們 也可以到路由器或者網關交換機上查看IP地址與MAC地址的對 應表，如果發現

13、某一個MAC對應了大量的IP地址，那么也說明 存在ARP欺騙攻擊，同時通過這個MAC地址查出用來ARP欺騙攻 擊的主機在交換機上所對應的物理端口，從而進行控制。2、arp欺騙攻擊的防護(1) 在客戶端使用arp命令綁定網關的真實MAC地址命令如T：arp(先清除錯誤的ARP表)arp 192. 168. 1. 1 03-03-03-03-03-03 (靜態指定網關的 MAC 地 址)(2) 在交換機上做端口與MAC地址的靜態綁定。(3) 在路由器上做IP地址與MAC地址的靜態綁定。(4) 使用“ARP SERVER按一定的時間間隔廣播網段內所 有主機的正確IP-MAC映射表。(5) 建立MAC

14、數據庫，把局域網內所有網卡的MAC地址記 錄下來，每個MAC和IP、地理位置統統裝入數據庫，以便及時 查詢備案。(6) 最主要是要提高安全意識，養成良好的安全習慣，包 括：及時安裝系統補丁程序；為系統設置強壯的密碼；安裝防火 墻；安裝有效的殺毒軟件并及時升級病毒庫；不主動進行網絡攻 擊，不隨便運行不受信任的軟件。參考文獻1鄧淸華，陳松喬.ARP欺騙攻擊及苴防范J.微機發展,2004, 14(8): 126-128.2孟曉明.給予ARP的網絡欺騙的檢測與防范J.信息技術,2005(5):41-44.3徐功文，陳曙，時研會.ARP協議攻擊原理及其防范措施J.網絡與信息安 全，2005, (1) :

15、4-6.4張海燕.ARP漏洞及英防范技術J.網絡安全,2005,:40-42.5王佳，李志蜀基于ARP協議的攻擊原理分析J.微電子學與計算 機,2004,21(4):10-12.|6樊景博，劉愛軍.ARP病毒的原理及防御辦法J.商洛學院學報,2007(2).7曹洪武.ARP欺騙入侵的檢測與防范策略J.塔里木大學學報2007(2).8葉城緒校園網中基于ARP的欺騙及英預防|J清海大學學報(自然科學報),2007(3):59-61.9王堅,梁海軍.ARP欺騙原理及苴防范策略探討J.計算機與現代化,2008(2):90-101.收稿日期：2011年9月18日版權申明本文部分內容，包扌舌文字、圖片、以

16、及設計等在網上搜集整理。 版權為潘宏亮個人所有This article includes some parts，including text, pictures, and design. Copyright is Pan Hongliang，s personal ownership 用戶可將本文的內容或服務用于個人學習、研究或欣賞，以及其 他非商業性或非盈利性用途，但同時應遵守著作權法及其他相關法律 的規定，不得侵犯本網站及相關權利人的合法權利。除此以外，將本 文任何內容或服務用于其他用途時，須征得本人及相關權利人的書面 許可，并支付報酬。Users may use the contents

17、or services of this article for personal study, research or appreciation， and other non-commercial or non-profit purposes, but at the same time, they shall abide by the provisions of copyright law and other relevant laws, and shall not infringe upon the legitimate rights of this website and its relevant obligees In addition, when any con tent or service of t his article is used for other purposes, written permission and remuneration shall be obtained from the person concerned and the relevant obligee轉載或引用木文內容必須是以新聞性或資料性公共免費信息為 使用目的的合理、善意引用，不得對本文內容原意進行曲解、修改， 并自負版權等法律責任。Reproduction or