ARP欺骗及其解决办法

其实我们在早年的上网经历中，由于当时的互联网还没有那么发达，大部分玩家都是通过局域网来完成一些计算机操作，所以无意识地接触过很多ARP欺骗，但是却不太清楚到底什么是ARP欺骗，更不知道遇到ARP欺骗的解决办法。

我们先来科普一下ARP协议：ARP（Address Resolution Protocol）地址转换协议，工作在OSI模型的数据链路层，在以太网中，网络设备之间互相通信是用MAC地址而不是IP地址，ARP协议就是用来把IP地址转换为MAC地址的。而RARP和ARP相反，它是反向地址转换协议，把MAC地址转换为IP地址。 假设A(192.168.1.2)与B(192.168.1.3)在同一局域网，A要和B实现通信。A首先会发送一个数据包到广播地址(192.168.1.255)，该数据包中包含了源IP（A）、源MAC、目的IP（B）、目的MAC，这个数据包会被发放给局域网中所有的主机，但是只有B主机会回复一个包含了源IP（B）、源MAC、目的IP（A）、目的MAC的数据包给A，同时A主机会将返回的这个地址保存在ARP缓存表中。

那么，弄懂了什么是ARP协议，ARP欺骗这个问题也就水落石出了。ARP是建立在网络中各个主机互相信任的基础上的，局域网络上的主机可以自主发送ARP应答消息，其他主机收到应答报文时不会检测该报文的真实性就会将其记入本机ARP缓存；由此攻击者就可以向某一主机发送伪ARP应答报文，使其发送的信息无法到达预期的主机或到达错误的主机，这就构成了一个ARP欺骗（也称为ARP攻击）。ARP攻击是属于局域网内的一种攻击方式，通过伪造IP地址和MAC地址实现ARP欺骗，能够在网络中产生大量的ARP通信量使网络阻塞。ARP攻击一般可以导致网内其他机器出现“IP地址冲突”或不能上网的症状。

ARP 欺骗分为两种，一种是双向欺骗，一种是单向欺骗。

单向ARP欺骗：掐断 A 与 B 的通讯，实现原理：C 向 A 发送一条 ARP 数据包，内容为：B 的地址是 00:00:00:00:00:00 （一个错误的地址），那么 A 此后向 B 发的数据包都会发到 00，而这个地址是错误的，所以通讯中断了，但是要注意了，这里只是 A –> B 中断了，B –> A 没有中断，所以这个叫单向欺骗。

双向ARP欺骗：A要跟C正常通讯，B向A说我是才C。B向C说我才是A，那么这样的情况下把A跟C的ARP缓存表全部修改了。以后通讯过程就是 A把数据发送给B,B在发送给C，C把数据发送B，B在把数据给A。

攻击主机发送ARP应答包给被攻击主机和网关，它们分别修改其ARP缓存表为, 修改的全是攻击主机的MAC地址，这样它们之间数据都被攻击主机截获。

遇到ARP欺骗解决方法有以下3种：

1.ARP防火墙安装

目前市场上，大多数都是安全辅助软件均内置ARP防火墙

2.安装杀毒软件

杀毒软件可以有效的防止ARP病毒进入机器。

3.已经中毒的处理方法

由于中毒后网速会减慢，杀软失效。所以应该用专门的专杀杀毒之后，安装杀毒软件保护系统。

ARP攻击主要是存在于局域网网络中，局域网中若有一台计算机感染ARP木马，则感染该ARP木马的系统将会试图通过“ARP欺骗”手段，截获所在网络内其它计算机的通信信息，并因此造成网内其它计算机的通信故障。

如今的网络攻击手段层出不穷，我们在安全上网的同时还要防止类似ARP欺骗这种网络攻击，给自己和他人创造一个安全的上网环境