ARP欺骗攻击原理与防御 1. ARP协议基础 ARP（Address Resolution Protocol）用于将网络层的IP地址解析为数据链路层的MAC地址。当主机A需要与同一局域网内的主机B通信时，A会广播一个ARP请求包，询问“谁的IP是B的IP？”，主机B收到后回复一个ARP应答包，包含自己的MAC地址。 关键特点 ： ARP协议 无认证机制 ，设备会默认信任收到的ARP应答。 ARP缓存表有动态更新机制，新应答会覆盖旧记录。 2. ARP欺骗攻击原理 攻击者通过伪造ARP应答包，欺骗目标设备将其MAC地址错误地关联到其他合法设备的IP地址。具体分为两种形式： （1）主机欺骗 攻击者C向主机A发送伪造的ARP应答包，声称“IP_ B的MAC是MAC_ C”； 同时向主机B发送伪造的ARP应答包，声称“IP_ A的MAC是MAC_ C”； 结果：A和B的通信流量全部经过C中转，C可窃听或篡改数据。 （2）网关欺骗 攻击者C向局域网内所有主机发送伪造的ARP应答，声称“网关的IP对应MAC_ C”； 主机更新ARP缓存后，会将发往网关的数据包全部发送给C，导致全网流量被劫持。 3. 攻击步骤详解 以网关欺骗为例： 扫描局域网 ：攻击者使用工具（如 nmap ）扫描网段，获取活跃主机IP和网关IP。 持续发送伪造ARP应答 ：使用工具（如 arpspoof ）向目标主机循环发送ARP应答包，伪造成网关的MAC地址为攻击者MAC。 开启IP转发 ：为避免网络中断引起怀疑，攻击者需开启系统的IP转发功能（Linux中 echo 1 > /proc/sys/net/ipv4/ip_forward ），将劫持的流量正常转发给网关。 窃听或篡改 ：结合抓包工具（如Wireshark）分析流量，或使用中间人攻击工具（如Ettercap）注入恶意代码。 4. 防御措施 （1）静态ARP绑定 在主机上手动绑定网关IP与MAC地址（例如： arp -s 网关IP 网关MAC ）； 缺点 ：维护成本高，不适合大规模网络。 （2）网络层防御 交换机安全功能 ：启用端口安全（Port Security）限制MAC地址数量，或使用DHCP Snooping+动态ARP检测（DAI）自动拦截异常ARP包。 网络划分 ：通过VLAN减少广播域范围，限制攻击传播。 （3）加密通信 使用HTTPS、SSH、VPN等加密协议，即使流量被劫持，攻击者也无法解密内容。 （4）ARP防火墙 主机安装ARP防火墙软件，主动检测并阻止异常ARP包更新缓存。 5. 总结 ARP欺骗利用协议无认证的缺陷，通过伪造MAC地址关联关系实施中间人攻击。防御需结合主机配置、网络设备安全策略及加密技术，形成多层次防护体系。