什么是arp攻击40

　　ARP

　　目录·一、什么是ARP协议

　　·二、ARP协议的工作原理

　　·三、如何查看ARP缓存表

　　·四、ARP欺骗

　　·五、遭受ARP攻击后现象

　　我们知道，当我们在浏览器里面输入网址时，DNS服务器会自动把它解析为IP地址，浏览器实际上查找的是IP地址而不是网址。那么IP地址是如何转换为第二层物理地址（即MAC地址）的呢？在局域网中，这是通过ARP协议来完成的。ARP协议对网络安全具有重要的意义。通过伪造IP地址和MAC地址实现ARP欺骗，能够在网络中产生大量的ARP通信量使网络阻塞。所以网管们应深入理解ARP协议。

　　一、什么是ARP协议

　　ARP协议是“AddressResolutionProtocol”（地址解析协议）的缩写。在局域网中，网络中实际传输的是“帧”，帧里面是有目标主机的MAC地址的。在以太网中，一个主机要和另一个主机进行直接通信，必须要知道目标主机的MAC地址。但这个目标MAC地址是如何获得的呢？它就是通过地址解析协议获得的。所谓“地址解析”就是主机在发送帧前将目标IP地址转换成目标MAC地址的过程。ARP协议的基本功能就是通过目标设备的IP地址，查询目标设备的MAC地址，以保证通信的顺利进行。

　　二、ARP协议的工作原理

　　在每台安装有TCP/IP协议的电脑里都有一个ARP缓存表，表里的IP地址与MAC地址是一一对应的，如附表所示。

　　附表

　　我们以主机A（192.168.1.5）向主机B（192.168.1.1）发送数据为例。当发送数据时，主机A会在自己的ARP缓存表中寻找是否有目标IP地址。如果找到了，也就知道了目标MAC地址，直接把目标MAC地址写入帧里面发送就可以了；如果在ARP缓存表中没有找到相对应的IP地址，主机A就会在网络上发送一个广播，目标MAC地址是“FF.FF.FF.FF.FF.FF”，这表示向同一网段内的所有主机发出这样的询问：“192.168.1.1的MAC地址是什么？”网络上其他主机并不响应ARP询问，只有主机B接收到这个帧时，才向主机A做出这样的回应：“192.168.1.1的MAC地址是00-aa-00-62-c6-09”。这样，主机A就知道了主机B的MAC地址，它就可以向主机B发送信息了。同时它还更新了自己的ARP缓存表，下次再向主机B发送信息时，直接从ARP缓存表里查找就可以了。ARP缓存表采用了老化机制，在一段时间内如果表中的某一行没有使用，就会被删除，这样可以大大减少ARP缓存表的长度，加快查询速度。

　　ARP攻击就是通过伪造IP地址和MAC地址实现ARP欺骗，能够在网络中产生大量的ARP通信量使网络阻塞，攻击者只要持续不断的发出伪造的ARP响应包就能更改目标主机ARP缓存中的IP-MAC条目，造成网络中断或中间人攻击。

　　ARP攻击主要是存在于局域网网络中，局域网中若有一个人感染ARP木马，则感染该ARP木马的系统将会试图通过“ARP欺骗”手段截获所在网络内其它计算机的通信信息，并因此造成网内其它计算机的通信故障。

　　三、如何查看ARP缓存表

　　ARP缓存表是可以查看的，也可以添加和修改。在命令提示符下，输入“arp-a”就可以查看ARP缓存表中的内容了，如附图所示。

　　用“arp-d”命令可以删除ARP表中某一行的内容；用“arp-s”可以手动在ARP表中指定IP地址与MAC地址的对应。

　　四、ARP欺骗

　　其实，此起彼伏的瞬间掉线或大面积的断网大都是ARP欺骗在作怪。ARP欺骗攻击已经成了破坏网吧经营的罪魁祸首，是网吧老板和网管员的心腹大患。

　　从影响网络连接通畅的方式来看，ARP欺骗分为二种，一种是对路由器ARP表的欺骗；另一种是对内网PC的网关欺骗。

　　第一种ARP欺骗的原理是——截获网关数据。它通知路由器一系列错误的内网MAC地址，并按照一定的频率不断进行，使真实的地址信息无法通过更新保存在路由器中，结果路由器的所有数据只能发送给错误的MAC地址，造成正常PC无法收到信息。第二种ARP欺骗的原理是——伪造网关。它的原理是建立假网关，让被它欺骗的PC向假网关发数据，而不是通过正常的路由器途径上网。在PC看来，就是上不了网了，“网络掉线了”。

　　一般来说，ARP欺骗攻击的后果非常严重，大多数情况下会造成大面积掉线。有些网管员对此不甚了解，出现故障时，认为PC没有问题，交换机没掉线的“本事”，电信也不承认宽带故障。而且如果第一种ARP欺骗发生时，只要重启路由器，网络就能全面恢复，那问题一定是在路由器了。为此，宽带路由器背了不少“黑锅”。

　　作为网吧路由器的厂家，对防范ARP欺骗不得已做了不少份内、份外的工作。一、在宽带路由器中把所有PC的IP-MAC输入到一个静态表中，这叫路由器IP-MAC绑定。二、力劝网管员在内网所有PC上设置网关的静态ARP信息，这叫PC机IP-MAC绑定。一般厂家要求两个工作都要做，称其为IP-MAC双向绑定。

　　显示和修改“地址解析协议”(ARP)所使用的到以太网的IP或令牌环物理地址翻译表。该命令只有在安装了TCP/IP协议之后才可用。

　　arp-a[inet_addr][-N[if_addr]

　　arp-dinet_addr[if_addr]

　　arp-sinet_addrether_addr[if_addr]

　　参数

　　-a

　　通过询问TCP/IP显示当前ARP项。如果指定了inet_addr，则只显示指定计算机的IP和物理地址。

　　-g

　　与-a相同。

　　inet_addr

　　以加点的十进制标记指定IP地址。

　　-N

　　显示由if_addr指定的网络界面ARP项。

　　if_addr

　　指定需要修改其地址转换表接口的IP地址（如果有的话）。如果不存在，将使用第一个可适用的接口。

　　-d

　　删除由inet_addr指定的项。

　　-s

　　在ARP缓存中添加项，将IP地址inet_addr和物理地址ether_addr关联。物理地址由以连字符分隔的6个十六进制字节给定。使用带点的十进制标记指定IP地址。项是永久性的，即在超时到期后项自动从缓存删除。

　　ether_addr

　　指定物理地址。

　　五、遭受ARP攻击后现象

　　ARP欺骗木马的中毒现象表现为：使用局域网时会突然掉线，过一段时间后又会恢复正常。比如客户端状态频频变红，用户频繁断网，IE浏览器频繁出错，以及一些常用软件出现故障等。如果局域网中是通过身份认证上网的，会突然出现可认证，但不能上网的现象（无法ping通网关），重启机器或在MS-DOS窗口下运行命令arp-d后，又可恢复上网。

　　ARP欺骗木马只需成功感染一台电脑，就可能导致整个局域网都无法上网，严重的甚至可能带来整个网络的瘫痪。该木马发作时除了会导致同一局域网内的其他用户上网出现时断时续的现象外，还会窃取用户密码。如盗取QQ密码、盗取各种网络游戏密码和账号去做金钱交易，盗窃网上银行账号来做非法交易活动等，这是木马的惯用伎俩，给用户造成了很大的不便和巨大的经济损失。

　　防止ARP攻击

　　1.建立DHCP服务器(建议建在网关上，因为DHCP不占用多少CPU，而且ARP欺骗攻击一般总是先攻击网关，我们就是要让他先攻击网关，因为网关这里有监控程序的，网关地址建议选择192.168.10.2，把192.168.10.1留空，如果犯罪程序愚蠢的话让他去攻击空地址吧)，另外所有客户机的IP地址及其相关主机信息，只能由网关这里取得，网关这里开通DHCP服务，但是要给每个网卡，绑定固定唯一IP地址。一定要保持网内的机器IP/MAC一一对应的关系。这样客户机虽然是DHCP取地址，但每次开机的IP地址都是一样的。

　　2.建立MAC数据库，把网吧内所有网卡的MAC地址记录下来，每个MAC和IP、地理位置统统装入数据库，以便及时查询备案。

　　3.网关机器关闭ARP动态刷新的过程，使用静态路邮，这样的话，即使犯罪嫌疑人使用ARP欺骗攻击网关的话，这样对网关也是没有用的，确保主机安全。

　　网关建立静态IP/MAC捆绑的方法是：建立/etc/ethers文件，其中包含正确的IP/MAC对应关系，格式如下：

　　192.168.2.3208:00:4E:B0:24:47

　　然后再/etc/rc.d/rc.local最后添加：

　　arp-f生效即可

　　4.网关监听网络安全。网关上面使用TCPDUMP程序截取每个ARP程序包，弄一个脚本分析软件分析这些ARP协议。ARP欺骗攻击的包一般有以下两个特点，满足之一可视为攻击包报警：第一以太网数据包头的源地址、目标地址和ARP数据包的协议地址不匹配。或者，ARP数据包的发送和目标地址不在自己网络网卡MAC数据库内，或者与自己网络MAC数据库MAC/IP不匹配。这些统统第一时间报警，查这些数据包（以太网数据包）的源地址(也有可能伪造)，就大致知道那台机器在发起攻击了。

　　5.偷偷摸摸的走到那台机器，看看使用人是否故意，还是被任放了什么木马程序陷害的。如果后者，不声不响的找个借口支开他，拔掉网线(不关机,特别要看看Win98里的计划任务)，看看机器的当前使用记录和运行情况，确定是否是在攻击。

　　2:IP与系统有冲突

　　TCP/IP协议设置自动获取ip即可

　　ARP攻击是什么意思？怎么防范？

　　英文原义：AddressResolutionProtocol

　　中文释义：（RFC-826）地址解析协议

　　局域网中，网络中实际传输的是“帧”，帧里面是有目标主机的MAC地址的。所谓“地址解析”就是主机在发送帧前将目标IP地址转换成目标MAC地址的过程。ARP协议的基本功能就是通过目标设备的IP地址，查询目标设备的MAC地址以保证通信的顺利进行。

　　注解：简单地说，ARP协议主要负责将局域网中的32为IP地址转换为对应的48位物理地址，即网卡的MAC地址，比如IP地址为192.168.0.1网卡MAC地址为00-03-0F-FD-1D-2B。整个转换过程是一台主机先向目标主机发送包含IP地址信息的广播数据包，即ARP请求，然后目标主机向该主机发送一个含有IP地址和MAC地址数据包，通过MAC地址两个主机就可以实现数据传输了。

　　应用：在安装了以太网网络适配器的计算机中都有专门的ARP缓存，包含一个或多个表，用于保存IP地址以及经过解析的MAC地址。在Windows中要查看或者修改ARP缓存中的信息，可以使用arp命令来完成，比如在WindowsXP的命令提示符窗口中键入“arp-a”或“arp-g”可以查看ARP缓存中的内容；键入“arp-dIPaddress”表示删除指定的IP地址项（IPaddress表示IP地址）。arp命令的其他用法可以键入我们首先要知道以太网内主机通信是靠MAC地址来确定目标的.arp协议又称"地址解析协议",它负责通知电脑要连接的目标的地址,这里说的地址在以太网中就是MAC地址,简单说来就是通过IP地址来查询目标主机的MAC地址.一旦这个环节出错,我们就不能正常和目标主机进行通信,甚至使整个网络瘫痪.

　　ARP的攻击主要有以下几种方式

　　一.简单的欺骗攻击

　　这是比较常见的攻击,通过发送伪造的ARP包来欺骗路由和目标主机,让目标主机认为这是一个合法的主机.便完成了欺骗.这种欺骗多发生在同一网段内,因为路由不会把本网段的包向外转发,当然实现不同网段的攻击也有方法,便要通过ICMP协议来告诉路由器重新选择路由.

　　二.交换环境的嗅探

　　在最初的小型局域网中我们使用HUB来进行互连,这是一种广播的方式,每个包都会经过网内的每台主机,通过使用软件,就可以嗅谈到整个局域网的数据.现在的网络多是交换环境,网络内数据的传输被锁定的特定目标.既已确定的目标通信主机.在ARP欺骗的基础之上,可以把自己的主机伪造成一个中间转发站来监听两台主机之间的通信.

　　三.MACFlooding

　　这是一个比较危险的攻击,可以溢出交换机的ARP表,使整个网络不能正常通信

　　四.基于ARP的DOS

　　这是新出现的一种攻击方式,D.O.S又称拒绝服务攻击,当大量的连接请求被发送到一台主机时,由于主机的处理能力有限,不能为正常用户提供服务,便出现拒绝服务.这个过程中如果使用ARP来隐藏自己,在被攻击主机的日志上就不会出现真实的IP.攻击的同时,也不会影响到本机.

　　防护方法:

　　1.IP+MAC访问控制.

　　单纯依靠IP或MAC来建立信任关系是不安全,理想的安全关系建立在IP+MAC的基础上.这也是我们校园网上网必须绑定IP和MAC的原因之一.

　　2.静态ARP缓存表.

　　每台主机都有一个临时存放IP-MAC的对应表ARP攻击就通过更改这个缓存来达到欺骗的目的,使用静态的ARP来绑定正确的MAC是一个有效的方法.在命令行下使用arp-a可以查看当前的ARP缓存表.以下是本机的ARP表

　　C:\DocumentsandSettings\\cnqing>arp-a

　　Interface:210.31.197.81onInterface0x1000003

　　InternetAddressPhysicalAddressType

　　210.31.197.9400-03-6b-7f-ed-02dynamic

　　其中"dynamic"代表动态缓存,即收到一个相关ARP包就会修改这项.如果是个非法的含有不正确的网关的ARP包,这个表就会自动更改.这样我们就不能找到正确的网关MAC,就不能正常和其他主机通信.静态表的建立用ARP-SIPMAC.

　　执行"arp-s210.31.197.9400-03-6b-7f-ed-02"后,我们再次查看ARP缓存表.

　　C:\DocumentsandSettings\\cnqing>arp-a

　　Interface:210.31.197.81onInterface0x1000003

　　InternetAddressPhysicalAddressType

　　210.31.197.9400-03-6b-7f-ed-02static

　　此时"TYPE"项变成了"static",静态类型.这个状态下,是不会在接受到ARP包时改变本地缓存的.从而有效的防止ARP攻击.静态的ARP条目在每次重启后都要消失需要重新设置.

　　3.ARP高速缓存超时设置

　　在ARP高速缓存中的表项一般都要设置超时值,缩短这个这个超时值可以有效的防止ARP表的溢出.

　　4.主动查询

　　在某个正常的时刻,做一个IP和MAC对应的数据库,以后定期检查当前的IP和MAC对应关系是否正常.定期检测交换机的流量列表,查看丢包率.

　　总结:ARP本省不能造成多大的危害,一旦被结合利用,其危险性就不可估量了.由于ARP本身的问题.使得防范ARP的攻击很棘手,经常查看当前的网络状态,监控流量对一个网管员来说是个很好的习惯.

　　“arp/?”查看到。

　　什么是ARP攻击！

　　什么是ARP攻击？

　　arp协议是“addressresolutionprotocol”（地址解析协议）的缩写，在局域网中，网络中实际传输的是帧，帧里面是有目标主机mac地址的。在以太网中，一个主机要和另一个主机进行直接通信，必须要知道目标主机的mac地址，但这个主机地址是怎样获得的呢？使通过地址解析协议获得的。地址解析就是主机在发送帧前将目标ip地址转换成目标mac地址的过程。

　　arp病毒通过伪造ip地址和mac地址实现arp欺骗

　　可以下专用的防火墙拦截

　　也可以用360来拦截

　　什么是ARP攻击

　　ARP攻击，是针对以太网地址解析协议（ARP）的一种攻击技术。此种攻击可让攻击者取得局域网上的数据封包甚至可篡改封包，且可让网络上特定计算机或所有计算机无法正常连接。你装个360安全卫士吧，360的木马防护墙的ARP防火墙很给力，能有效的阻止ARP攻击，这个默认是关闭的，你自行开启下，就行了.

　　什么是ARP攻击？被攻击了怎么办？？

　　首先给大家说说什么是ARP（看不懂的请继续往下看）ARP（AddressResolutionProtocol）是地址解析协议，是一种将IP地址转化成物理地址的协议。从IP地址到物理地址的映射有两种方式：表格方式和非表格方式。ARP具体说来就是将网络层（IP层，也就是相当于OSI的第三层）地址解析为数据连接层（MAC层，也就是相当于OSI的第二层）的MAC地址。ARP原理：某机器A要向主机B发送报文，会查询本地的ARP缓存表，找到B的IP地址对应的MAC地址后，就会进行数据传输。如果未找到，则广播A一个ARP请求报文（携带主机A的IP地址Ia——物理地址Pa），请求IP地址为Ib的主机B回答物理地址Pb。网上所有主机包括B都收到ARP请求，但只有主机B识别自己的IP地址，于是向A主机发回一个ARP响应报文。其中就包含有B的MAC地址，A接收到B的应答后，就会更新本地的ARP缓存。接着使用这个MAC地址发送数据（由网卡附加MAC地址）。因此，本地高速缓存的这个ARP表是本地网络流通的基础，而且这个缓存是动态的。ARP攻击是什么原理有什么影响？（看不懂的请继续往下看）您的网络是否经常断线，是否经常发生IP冲突？您是否担心通讯数据受到监控（如MSN、QQ、EMAIL）？您的服务器是否经常遭受ARP欺骗，被黑客植入木马？您是否深受各种ARP攻击软件之苦（如网络执法官、网络剪刀手、局域网终结者）？以上各种问题的根源都是ARP欺骗（ARP攻击）。在没有ARP欺骗之前，数据流向是这样的：网关<->本机。ARP欺骗之后，数据流向是这样的：网关<->攻击者（“网管”）<->本机，本机与网关之间的所有通讯数据都将流经攻击者（“网管”），所以“任人宰割”就在所难免了。说了那么多我还是不懂啊？上面都是技术术语，如果不懂可以简单的这么理解:局域网内，一个中了ARP木马的电脑，把自己伪装成路由器，告诉所有的电脑“我是路由器大家都来”，结果大家的电脑相信了他，他就可以随意的把改装过的网络数据送给所有电脑，在这个数据里可以插入能盗号的程序。ARP攻击就是想盗我号想给我中木马想给我发广告，可为什么总是掉线呢？简单的比喻的说：中木马的电脑伪装自己的路由器，暂时把真正的路由器给“打晕”了骗了大家，真路由过一会“苏醒了”大家又重新回到真路由的怀抱中，这个网络切换的过程中就会掉线。ARP攻击越强烈掉线越频繁两个真假路由在打架呵呵那么360ARP防火墙能阻止上面的攻击吗？他和其他防火墙冲突吗？360ARP防火墙通过在系统内核层拦截ARP攻击数据包，确保网关正确的MAC地址不被篡改，可以保障数据流向正确，不经过第三者，从而保证通讯数据安全、保证网络畅通、保证通讯数据不受第三者控制，完美的解决局域网内ARP攻击问题。*内核层拦截ARP攻击在系统内核层拦截外部ARP攻击数据包，保障系统不受ARP欺骗、ARP攻击影响，保持网络畅通及通讯安全采用内核拦截技术，本机运行速度不受任何影响*追踪攻击者发现攻击行为后，自动定位到攻击者IP地址和攻击机器名（有些网络条件下可能获取不成功）*ARP缓存保护防止恶意攻击程序篡改本机ARP缓存===============================================360ARP防火墙，目前是演示测试版，供有需要的360卫士用户朋友抵挡ARP攻击，目的是把大家从ARP攻击的痛苦中解救出来哦~不具有其他传统防火墙的功能，仅为抗ARP攻击服务，因此不和其他任何防火墙冲突且可完美的配合！

2020-10-08

上一篇：南方冬至吃什么食物

下一篇：什么是虹吸原理