ARP欺骗与防御手段 神州数码网络公司 目录 TOC\o"1-3"\h\z\uHYPERLINK\l"_Toc173821946"1. ARP欺骗 PAGEREF_Toc173821946\h4 HYPERLINK\l"_Toc173821947"1.1. ARP协议工作原理 PAGEREF_Toc173821947\h4 HYPERLINK\l"_Toc173821948"1.2. ARP协议的缺陷 PAGEREF_Toc173821948\h4 HYPERLINK\l"_Toc173821949"1.3. ARP协议报文格式 PAGEREF_Toc173821949\h5 HYPERLINK\l"_Toc173821950"1.4. ARP攻击的种类 PAGEREF_Toc173821950\h6 HYPERLINK\l"_Toc173821951"1.4.1. ARP网关欺骗 PAGEREF_Toc173821951\h6 HYPERLINK\l"_Toc173821952"1.4.2. ARP主机欺骗 PAGEREF_Toc173821952\h7 HYPERLINK\l"_Toc173821953"1.4.3. 网段扫描 PAGEREF_Toc173821953\h9  ARP欺骗 在与用户的沟通过程中，感觉到用户的网络管理人员最头痛也是频繁出现的问题就是ARP的病毒攻击问题。在一个没有防御的网络当中暴发的ARP病毒带来的影响是非常严重的，会造成网络丢包、不能访问网关、IP地址冲突等等。多台设备短时间内发送大量ARP报文还会引起设备的CPU利用率上升，严重时可能会引起核心设备的宕机。 如何解决ARP攻击的问题呢？首先要从ARP攻击的原理开始分析。 ARP协议工作原理 在TCP/IP协议中，每一个网络结点是用IP地址标识的，IP地址是一个逻辑地址。而在以太网中数据包是靠48位MAC地址（物理地址）寻址的。因此，必须建立IP地址与MAC地址之间的对应（映射）关系，ARP协议就是为完成这个工作而设计的。 TCP/IP协议栈维护着一个ARPcache表，在构造网络数据包时，首先从ARP表中找目标IP对应的MAC地址，如果找不到，就发一个ARPrequest广播包，请求具有该IP地址的主机报告它的MAC地址，当收到目标IP所有者的ARPreply后，更新ARPcache。ARPcache有老化机制。 ARP协议的缺陷 ARP协议是建立在信任局域网内所有结点的基础上的，它很高效，但却不安全。它是无状态的协议，不会检查自己是否发过请求包，也不管（其实也不知道）是否是合法的应答，只要收到目标MAC是自己的ARPreply包或arp广播包（包括ARPrequest和ARPreply），都会接受并缓存。这就为ARP欺骗提供了可能，恶意节点可以发布虚假的ARP报文从而影响网内结点的通信，甚至可以做“中间人”。 ARP协议报文格式 66222目地MAC地址源MAC地址帧类型硬件类型协议类型11264硬件地址长度协议地址长度类型发送端MAC地址发送端IP地址64接收端MAC地址接收端IP地址 报文的前两个字段分别为目地MAC地址和源MAC地址，长度共12个字节。当报文中，目地MAC地址为全1（FF:FF:FF:FF:FF:FF）时候，代表为二层广播报文。同一个广播域的主机均会收到。 第三个字段是帧类型，长度2个字节。对于ARP报文，这个字段的值为“0806”。 接下来两个2字节的字段表示硬件地址类型和对应映射的协议类型。 硬件地址类型值为“0001”代表以太网地址。协议类型值为“0800”代表IP地址。 后跟两个1字节的字段表示硬件地址长度和协议地址长度。这两个字段具体数值分别为“6”和“4”代表硬件地址长度使用6字节表示和协议地址长度使用4字节表示。 类型字段，长度2个字节。这个字段的值表示出ARP报文属于那种操作。ARP请求（值为“01”，ARP应答（值为“02”），RARP请求（值为“03”）和RARP应答（值为“04”）。 最后四个字段为发送端MAC地址、发送端IP地址、接收端MAC地址、接收端IP地址。（其中，发送端MAC地址与字段2的源MAC地址重复。） ARP攻击的种类 针对ARP攻击的不同目地，可以把ARP攻击分为网关欺骗、主机欺骗、MAC地址扫描几类。下面分析一下每种ARP攻击使用的方法和报文格式。 ARP网关欺骗 在ARP的攻击中，网关欺骗是一种比较常见的攻击方法。通过伪装的ARPRequest报文或Reply报文到修改PC机网关的MAC-IP对照表的目地。造成PC机不能访问网关