網(wǎng)吧是最常見的局域網(wǎng)， 相信很多讀者都曾經(jīng)到網(wǎng)吧上網(wǎng)沖浪。 不過在使用過程中是否出現(xiàn)過別人可以正常上網(wǎng)而自己卻無法訪問任何頁面和網(wǎng)絡(luò)信息的情況呢？雖然造成這種現(xiàn)象的情況有很多， 但是目前最常見的就是ARP欺騙了， 很多黑客工具甚至是病毒都是通過ARP欺騙來實(shí)現(xiàn)對(duì)主機(jī)進(jìn)行攻擊和阻止本機(jī)訪問任何網(wǎng)絡(luò)信息的目的， 今天筆者就為各位介紹ARP欺騙的原理及危害， 讓我們對(duì)這個(gè)攻擊方式有一個(gè)清晰的了解。

　　一、什么是ARP協(xié)議？

　　ARP協(xié)議是“Address Resolution Protocol”(地址解析協(xié)議)的縮寫。 在局域網(wǎng)中， 網(wǎng)絡(luò)中實(shí)際傳輸?shù)氖?ldquo;幀”， 幀里面是有目標(biāo)主機(jī)的MAC地址的。 在以太網(wǎng)中， 一個(gè)主機(jī)要和另一個(gè)主機(jī)進(jìn)行直接通信， 必須要知道目標(biāo)主機(jī)的MAC地址。 但這個(gè)目標(biāo)MAC地址是如何獲得的呢？它就是通過地址解析協(xié)議獲得的。 所謂“地址解析”就是主機(jī)在發(fā)送幀前將目標(biāo)IP地址轉(zhuǎn)換成目標(biāo)MAC地址的過程。 ARP協(xié)議的基本功能就是通過目標(biāo)設(shè)備的IP地址， 查詢目標(biāo)設(shè)備的MAC地址， 以保證通信的順利進(jìn)行。 所以說從某種意義上講ARP協(xié)議是工作在更低于IP協(xié)議的協(xié)議層。 這也是為什么ARP欺騙更能夠讓人在神不知鬼不覺的情況下出現(xiàn)網(wǎng)絡(luò)故障， 他的危害更加隱蔽。

　　二、ARP欺騙的原理：

　　首先我們可以肯定一點(diǎn)的就是發(fā)送ARP欺騙包是通過一個(gè)惡毒的程序自動(dòng)發(fā)送的， 正常的TCP/IP網(wǎng)絡(luò)是不會(huì)有這樣的錯(cuò)誤包發(fā)送的， 而人工發(fā)送又比較麻煩。 也就是說當(dāng)黑客沒有運(yùn)行這個(gè)惡毒程序的話， 網(wǎng)絡(luò)上通信應(yīng)該是一切正常的， 保留在各個(gè)連接網(wǎng)絡(luò)計(jì)算機(jī)上的ARP緩存表也應(yīng)該是正確的， 只有程序啟動(dòng)開始發(fā)送錯(cuò)誤ARP信息以及ARP欺騙包時(shí)才會(huì)讓某些計(jì)算機(jī)訪問網(wǎng)絡(luò)出現(xiàn)問題。 接下來我們來闡述下ARP欺騙的原理。

　　第一步：假設(shè)這樣一個(gè)網(wǎng)絡(luò)， 一個(gè)Hub或交換機(jī)連接了3臺(tái)機(jī)器， 依次是計(jì)算機(jī)A， B， C。

　　A的地址為：IP：192.168.1.1 MAC: AA-AA-AA-AA-AA-AA

　　B的地址為：IP：192.168.1.2 MAC: BB-BB-BB-BB-BB-BB

　　C的地址為：IP：192.168.1.3 MAC: CC-CC-CC-CC-CC-CC

　　第二步：正常情況下在A計(jì)算機(jī)上運(yùn)行ARP -A查詢ARP緩存表應(yīng)該出現(xiàn)如下信息。

　　Interface: 192.168.1.1 on Interface 0x1000003

　　Internet Address Physical Address Type

　　192.168.1.3 CC-CC-CC-CC-CC-CC dynamic

　　第三步：在計(jì)算機(jī)B上運(yùn)行ARP欺騙程序， 來發(fā)送ARP欺騙包。

　　B向A發(fā)送一個(gè)自己偽造的ARP應(yīng)答， 而這個(gè)應(yīng)答中的數(shù)據(jù)為發(fā)送方IP地址是192.168.10.3(C的IP地址)， MAC地址是DD-DD-DD-DD-DD-DD(C的MAC地址本來應(yīng)該是CC-CC-CC-CC-CC-CC， 這里被偽造了)。 當(dāng)A接收到B偽造的ARP應(yīng)答， 就會(huì)更新本地的ARP緩存(A可不知道被偽造了)。 而且A不知道其實(shí)是從B發(fā)送過來的， A這里只有192.168.10.3(C的IP地址)和無效的DD-DD-DD-DD-DD-DD mac地址。

　　第四步：欺騙完畢我們?cè)贏計(jì)算機(jī)上運(yùn)行ARP -A來查詢ARP緩存信息。 你會(huì)發(fā)現(xiàn)原來正確的信息現(xiàn)在已經(jīng)出現(xiàn)了錯(cuò)誤。

　　Interface: 192.168.1.1 on Interface 0x1000003

　　Internet Address Physical Address Type

　　192.168.1.3 DD-DD-DD-DD-DD-DD dynamic

　　從上面的介紹我們可以清楚的明白原來網(wǎng)絡(luò)中傳輸數(shù)據(jù)包最后都是要根據(jù)MAC地址信息的， 也就是說雖然我們?nèi)粘Ｍㄓ嵍际峭ㄟ^IP地址， 但是最后還是需要通過ARP協(xié)議進(jìn)行地址轉(zhuǎn)換， 將IP地址變?yōu)镸AC地址。 而上面例子中在計(jì)算機(jī)A上的關(guān)于計(jì)算機(jī)C的MAC地址已經(jīng)錯(cuò)誤了， 所以即使以后從A計(jì)算機(jī)訪問C計(jì)算機(jī)這個(gè)192.168.1.3這個(gè)地址也會(huì)被ARP協(xié)議錯(cuò)誤的解析成MAC地址為DD-DD-DD-DD-DD-DD的。

　　問題也會(huì)隨著ARP欺騙包針對(duì)網(wǎng)關(guān)而變本加厲， 當(dāng)局域網(wǎng)中一臺(tái)機(jī)器， 反復(fù)向其他機(jī)器， 特別是向網(wǎng)關(guān)， 發(fā)送這樣無效假冒的ARP應(yīng)答信息包時(shí)， 嚴(yán)重的網(wǎng)絡(luò)堵塞就會(huì)開始。 由于網(wǎng)關(guān)MAC地址錯(cuò)誤， 所以從網(wǎng)絡(luò)中計(jì)算機(jī)發(fā)來的數(shù)據(jù)無法正常發(fā)到網(wǎng)關(guān)， 自然無法正常上網(wǎng)。 這就造成了無法訪問外網(wǎng)的問題， 另外由于很多時(shí)候網(wǎng)關(guān)還控制著我們的局域網(wǎng)LAN上網(wǎng)， 所以這時(shí)我們的LAN訪問也就出現(xiàn)問題了。

　　三、ARP欺騙的危害：

　　前面也提到了ARP欺騙可以造成內(nèi)部網(wǎng)絡(luò)的混亂， 讓某些被欺騙的計(jì)算機(jī)無法正常訪問內(nèi)外網(wǎng)， 讓網(wǎng)關(guān)無法和客戶端正常通信。 實(shí)際上他的危害還不僅僅如此， 一般來說IP地址的沖突我們可以通過多種方法和手段來避免， 而ARP協(xié)議工作在更低層， 隱蔽性更高。 系統(tǒng)并不會(huì)判斷ARP緩存的正確與否， 無法像IP地址沖突那樣給出提示。 而且很多黑客工具例如網(wǎng)絡(luò)剪刀手等， 可以隨時(shí)發(fā)送ARP欺騙數(shù)據(jù)包和ARP恢復(fù)數(shù)據(jù)包， 這樣就可以實(shí)現(xiàn)在一臺(tái)普通計(jì)算機(jī)上通過發(fā)送ARP數(shù)據(jù)包的方法來控制網(wǎng)絡(luò)中任何一臺(tái)計(jì)算機(jī)的上網(wǎng)與否， 甚至還可以直接對(duì)網(wǎng)關(guān)進(jìn)行攻擊， 讓所有連接網(wǎng)絡(luò)的計(jì)算機(jī)都無法正常上網(wǎng)。 這點(diǎn)在以前是不可能的， 因?yàn)槠胀ㄓ?jì)算機(jī)沒有管理權(quán)限來控制網(wǎng)關(guān)， 而現(xiàn)在卻成為可能， 所以說ARP欺騙的危害是巨大的， 而且非常難對(duì)付， 非法用戶和惡意用戶可以隨時(shí)發(fā)送ARP欺騙和恢復(fù)數(shù)據(jù)包， 這樣就增加了網(wǎng)絡(luò)管理員查找真兇的難度。 那么難道就沒有辦法來阻止ARP欺騙問題的發(fā)生嗎？下篇文章筆者將就這些內(nèi)容進(jìn)行講解， 讓我們真真正正的和ARP欺騙說再見。