最新ARP欺骗攻击原理和防范技术_虚拟局域网

　　按照 ARP 协议的设计，为了减少网络上过多的 ARP 数据通信，一个主机，即使收到的 ARP 应答并非自己请求得到的，它也会将其插入到自己的 ARP 缓存表中，这样，就造成了“ ARP 欺骗的可能。

ARP欺骗/ MITM(Man-In-The-Middle)攻击原理和防范

MITM(Man-In-The-Middle) 攻击原理

　　按照 ARP 协议的设计，为了减少网络上过多的 ARP 数据通信，一个主机，即使收到的 ARP 应答并非自己请求得到的，它也会将其插入到自己的 ARP 缓存表中，这样，就造成了“ ARP 欺骗的可能。如果黑客想探听同一网络中两台主机之间的通信（即使是通过交换机相连），他会分别给这两台主机发送一个 ARP 应答包，让两台主机都“误认为对方的 MAC 地址是第三方的黑客所在的主机，这样，双方看似“直接的通信连接，实际上都是通过黑客所在的主机间接进行的。黑客一方面得到了想要的通信内容，另一方面，只需要更改数据包中的一些信息，成功地做好转发工作即可。在这种嗅探方式中，黑客所在主机是不需要设置网卡的混杂模式的，因为通信双方的数据包在物理上都是发送给黑客所在的中转主机的。

这里举个例子，假定同一个局域网内，有 3 台主机通过交换机相连：

A 主机： IP 地址为 192.168.0.1 ， MAC 地址为 01:01:01:01:01:01 ；

B 主机： IP 地址为 192.168.0.2 ， MAC 地址为 02:02:02:02:02:02 ；

C 主机： IP 地址为 192.168.0.3 ， MAC 地址为 03:03:03:03:03:03 。

B 主机对 A 和 C 进行欺骗的前奏就是发送假的 ARP 应答包，如图 所示

在收到 B主机发来的ARP应答后，A主机应知道：

到 192.168.0.3 的数据包应该发到 MAC 地址为 020202020202 的主机； C 主机也知道：到 192.168.0.1 的数据包应该发到 MAC 地址为 020202020202 的主机。这样， A 和 C 都认为对方的 MAC 地址是020202020202 ，实际上这就是 B 主机所需得到的结果。当然，因为 ARP 缓存表项是动态更新的，其中动态生成的映射有个生命期，一般是两分钟，如果再没有新的信息更新， ARP 映射项会自动去除。所以， B 还有一个“任务，那就是一直连续不断地向 A 和 C 发送这种虚假的 ARP 响应包，让其 ARP缓存中一直保持被毒害了的映射表项。