ARP攻击原理及防范方法

□

摘

王波

四川·泸州

（四川化工职业技术学院646000）

要：介绍ARP协议工作原理，ARP协议弱点如何被攻击者利用进行各种攻击，常见ARP攻击方法及现象分析，

并提出各种防范ARP攻击方法。关键词：ARP协议中图分类号：TP39

ARP攻击MAC地址邦定

中图分类号：A

文章编码：1007-3973（2009）08-049-01

信的计算机之间，通过某种手段窃取一台机器给另一台机器发送的数据包，然后将数据包修改再转发给另一台机器，攻击者对这两台计算机来说是透明的。具体过程如下。假设三台计算机A、B、C。机器C修改A的ARP缓存表，将表中B的IP地址对应的MAC地址改成C的MAC地址。当A给B发送数据时，就使用了B的IP地址与C的MAC地址。使给B发送的数据全部发给了C。同理修改目标机B的ARP缓存表使A的IP地址对应的MAC地址改成C的MAC地址。最终A与B之间通信的数据就全部经过C，之后C又把数据发给A和B。5克隆攻击

克隆攻击是另外一种ARP欺骗的方式。现在我们已经可以通过硬件或软件工具来修改网络接口的MAC地址，

1

ARP协议

ARP协议是“AddressResolutionProtocol”（地址解析协

议）的缩写。在局域网通信中，要把信号送到准确的设备上需要知道目标设备的物理地址（MAC地址），而IP地址是一个逻辑地址。ARP协议的基本功能就是通过目标设备的IP地址，查询目标设备的MAC地址，以保证通信顺利准确的进行。

ARP协议的工作原理

在每台安装有TCP/IP协议的电脑里都有一个ARP缓存表，表里的IP地址与MAC地址是一一对应的。如：

主机A：IP地址为192.168.6.1，MAC地址aa-aa-aa-aa-aa-aa；主机B：IP地址为192.168.6.2，MAC地址bb-bb-bb-bb-bb-bb。

我们以主机A（192.168.6.1）向主机B（192.168.6.2）发送数据为例。当发送数据时，主机A会在自己的ARP缓存表中寻找是否有目标IP地址。如果找到了，也就知道了目标MAC地址，直接把目标MAC地址写入帧里面发送就可以了；如果在ARP缓存表中没有找到相对应的IP地址，主机A就会在网络上发送一个广播，目标MAC地址是“FF.FF.FF.FF.FF.FF”，这表示向同一网段内的所有主机发出询问：“192.168.6.2的MAC地址是什么？”网络上其他主机并不响应ARP询问，只有主机B接收到这个帧时，才向主机A做出回应：“192.168.6.2的MAC地址是bb-bb-bb-bb-bb-bb”。这样，主机A就知道了主机B的MAC地址，它就可以向主机B发送信息了。同时更新自己的ARP缓存表，下次再向主机B发送信息时，直接从ARP缓存表里查找就可以了。ARP缓存表采用了老化机制，在一段时间内如果表中的某一行没有使用，就会被删除，这样可以大大减少ARP缓存

表的长度，加快查询速度。

2

Linux用户甚至只需要用ifconfig命令修改一个参数就能修

改。攻击者通过拒绝服务攻击使目标主机与外界失去联系，然后攻击者将自己的IP和MAC地址改成目标机的IP和MAC地址，这样攻击者的主机就成为和目标机一样的副本。

6

ARP攻击现象

（1）计算机网络连接正常，有时候PC无法访问外网，重

（2）用户私密信息（如网银、虚拟财产帐号等）被窃取；

新启动路由器又好了，过一会又不行了；

（3）局域网内的ARP广播包突然急剧增加，使用ARP查询时发现不正常的MAC地址，或错误的MAC地址，还有一个MAC对应多个IP的情况；局域网内出现网络拥塞，甚至一些网络设备当主机。

7ARP攻击防范方法

在局域网用户最简单有效的解决方法是采用双向绑定

的方法解决并且防止ARP欺骗。具体做法是在PC上邦定网关的MAC地址，并在网关上邦定每个PC的MAC地址。（1）在PC上绑定路由器的IP和MAC地址：

1）首先，获得路由器的内网的MAC地址(例如HiPER网关地址192.168.16.1的MAC地址为0022bb0022bb)。

3

ARP攻击原理

ARP协议并不只在发送了ARP请求才接收ARP应答。当计算机接收到ARP应答数据包的时候，就会对本地的ARP缓存进行更新，将应答中的IP和MAC地址存储在ARP缓存中。因此，当局域网中的某台机器B向A发送一个自己伪造的ARP应答，而如果这个应答是B冒充C伪造来的，即IP地址为C的IP，而MAC地址是伪造的，则当A接收到B伪造的ARP应答后，就会更新本地的ARP缓存，这样在A看来C的IP地址没有变，而它的MAC地址已经不是原来那个了。由于局域网的网络流通不是根据IP地址进行，而是按照MAC地址进行传输。所以，那个伪造出来的MAC地址在A上被改变成一个不存在的MAC地址，这样就会造成网络不通，导致A不能Ping通C！这就是一个简单的ARP欺骗。4中间人攻击

这种攻击是网络监听的一种方式。攻击者进入两台通

2）编写一个批处理文件rarp.bat内容如下：@echooffarp-d

arp-s192.168.16.100-22-bb-00-22-bb

将文件中的网关IP地址和MAC地址更改为您自己的网关IP地址和MAC地址即可。

将这个批处理软件拖到“windows→开始→程序→启动”中。（2）在路由器上绑定用户主机的IP和MAC地址。

参考文献：

[1]双木.网络管理之ARP协议篇[J].中国电脑教育报.[2]吴勇,李祥.ARP攻击的分析与防范[J].计算机与信息

技术.

49

———科协论坛·2009年第8期（下）———