ARP攻擊，是針對以太網地址解析協議（ARP）的一種攻擊技術。此種攻擊可讓攻擊者取得局域網上的數據封包甚至可篡改封包，且可讓網絡上特定計算機或所有計算機無法正常連接。最早探討ARP攻擊的文章是由Yuri Volobue所寫的《ARP與ICMP轉向游戲》。

ARP定義

　　ARP（Address Resolution Protocol，地址解析協議）是一個位于TCP/IP協議棧中的底層協議，對應于數據鏈路層，負責將某個IP地址解析成對應的MAC地址。 　　ARP協議的基本功能就是通過目標設備的IP地址，查詢目標設備的MAC地址，以保證通信的進行。 　　ARP（AddressResolutionProtocol）是地址解析協議，是一種將IP地址轉化成物理地址的協議。從IP地址到物理地址的映射有兩種方式：表格方式和非表格方式。ARP具體說來就是將網絡層（IP層，也就是相當于OSI的第三層）地址解析為數據連接層（MAC層，也就是相當于OSI的第二層）的MAC地址。

ARP攻擊原理

　　ARP攻擊就是通過偽造IP地址和MAC地址實現ARP欺騙，能夠在網絡中產生大量的ARP通信量使網絡阻塞，攻擊者只要持續不斷的發出偽造的ARP響應包就能更改目標主機ARP緩存中的IP-MAC條目，造成網絡中斷或中間人攻擊。 　　ARP攻擊主要是存在于局域網網絡中，局域網中若有一臺計算機感染ARP木馬，則感染該ARP木馬的系統將會試圖通過“ARP欺騙”手段截獲所在網絡內其它計算機的通信信息，并因此造成網內其它計算機的通信故障。 　　某機器A要向主機B發送報文，會查詢本地的ARP緩存表，找到B的IP地址對應的MAC地址后，就會進行數據傳輸。如果未找到，則廣播A一個ARP請求報文（攜帶主機A的IP地址Ia——物理地址Pa），請求IP地址為Ib的主機B回答物理地址Pb。網上所有主機包括B都收到ARP請求，但只有主機B識別自己的IP地址，于是向A主機發回一個ARP響應報文。其中就包含有B的MAC地址，A接收到B的應答后，就會更新本地的ARP緩存。接著使用這個MAC地址發送數據（由網卡附加MAC地址）。因此，本地高速緩存的這個ARP表是本地網絡流通的基礎，而且這個緩存是動態的。

ARP攻擊的演化

　　初期： 　　這種有目的的發布錯誤ARP廣播包的行為，被稱為ARP欺騙。ARP欺騙，最初為黑客所用，成為黑客竊取網絡數據的主要手段。黑客通過發布錯誤的ARP廣播包，阻斷正常通信，并將自己所用的電腦偽裝成別人的電腦，這樣原本發往其他電腦的數據，就發到了黑客的電腦上，達到竊取數據的目的。 　　中期：ARP惡意攻擊 　　后來，有人利用這一原理，制作了一些所謂的“管理軟件”，例如網絡剪刀手、執法官、終結者等，這樣就導致了ARP惡意攻擊的泛濫。往往使用這種軟件的人，以惡意破壞為目的，多是為了讓別人斷線，逞一時之快。 　　特別是在網吧中，或者因為商業競爭的目的、或者因為個人無聊泄憤，造成惡意ARP攻擊泛濫。 　　隨著網吧經營者摸索出禁用這些特定軟件的方法，這股風潮也就漸漸平息下去了。 　　現在：綜合的ARP攻擊 　　最近這一波ARP攻擊潮，其目的、方式多樣化，沖擊力度、影響力也比前兩個階段大很多。 　　首先是病毒加入了ARP攻擊的行列。以前的病毒攻擊網絡以廣域網為主，最有效的攻擊方式是DDOS攻擊。但是隨著防范能力的提高，病毒制造者將目光投向局域網，開始嘗試ARP攻擊，例如最近流行的威金病毒，ARP攻擊是其使用的攻擊手段之一。 　　相對病毒而言，盜號程序對網吧運營的困惑更大。盜號程序是為了竊取用戶帳號密碼數據而進行ARP欺騙，同時又會影響的其他電腦上網。

遭受ARP攻擊后現象

　　ARP欺騙木馬的中毒現象表現為：使用局域網時會突然掉線，過一段時間后又會恢復正常。比如客戶端狀態頻頻變紅，用戶頻繁斷網，IE瀏覽器頻繁出錯，以及一些常用軟件出現故障等。如果局域網中是通過身份認證上網的，會突然出現可認證，但不能上網的現象（無法ping通網關），重啟機器或在MS-DOS窗口下運行命令arp -d后，又可恢復上網。 　　ARP欺騙木馬只需成功感染一臺電腦，就可能導致整個局域網都無法上網，嚴重的甚至可能帶來整個網絡的癱瘓。該木馬發作時除了會導致同一局域網內的其他用戶上網出現時斷時續的現象外，還會竊取用戶密碼。如盜取QQ密碼、盜取各種網絡<

【 頂部 】 【 關閉 】