ARP欺骗攻击_网络arp攻击

什么是ARP攻击

想了解什么是ARP，ARP攻击的原理，现象，和解决方法是什么？

1.首先给大家说说什么是ARP

ARP（Address Resolution Protocol）是地址解析协议，是一种将IP地址转化成物理地址的协议。从IP地址到物理地址的映射有两种方式：表格方式和非表格方式。ARP具体说来就是将网络层（IP层，也就是相当于OSI的第三层）地址解析为数据连接层（MAC层，也就是相当于OSI的第二层）的MAC地址。

ARP原理：某机器A要向主机B发送报文，会查询本地的ARP缓存表，找到B的IP地址对应的MAC地址后，就会进行数据传输。如果未找到，则广播A一个ARP请求报文（携带主机A的IP地址Ia——物理地址Pa），请求IP地址为Ib的主机B回答物理地址Pb。网上所有主机包括B都收到ARP请求，但只有主机B识别自己的IP地址，于是向A主机发回一个ARP响应报文。其中就包含有B的MAC地址，A接收到B的应答后，就会更新本地的ARP缓存。接着使用这个MAC地址发送数据（由网卡附加MAC地址）。因此，本地高速缓存的这个ARP表是本地网络流通的基础，而且这个缓存是动态的。

ARP协议并不只在发送了ARP请求才接收ARP应答。当计算机接收到ARP应答数据包的时候，就会对本地的ARP缓存进行更新，将应答中的IP和MAC地址存储在ARP缓存中。因此，当局域网中的某台机器B向A发送一个自己伪造的ARP应答，而如果这个应答是B冒充C伪造来的，即IP地址为C的IP，而MAC地址是伪造的，则当A接收到B伪造的ARP应答后，就会更新本地的ARP缓存，这样在A看来C的IP地址没有变，而它的MAC地址已经不是原来那个了。由于局域网的网络流通不是根据IP地址进行，而是按照MAC地址进行传输。所以，那个伪造出来的MAC地址在A上被改变成一个不存在的MAC地址，这样就会造成网络不通，导致A不能Ping通C！这就是一个简单的ARP欺骗。

2.网络执法官利用的就是这个原理！

在网络执法官中，要想限制某台机器上网，只要点击"网卡"菜单中的"权限"，选择指定的网卡号或在用户列表中点击该网卡所在行，从右键菜单中选择"权限"，在弹出的对话框中即可限制该用户的权限。对于未登记网卡，可以这样限定其上线：只要设定好所有已知用户（登记）后，将网卡的默认权限改为禁止上线即可阻止所有未知的网卡上线。使用这两个功能就可限制用户上网。其原理是通过ARP欺骗发给被攻击的电脑一个假的网关IP地址对应的MAC，使其找不到网关真正的MAC地址，这样就可以禁止其上网。

3.修改MAC地址突破网络执法官的封锁

根据上面的分析，我们不难得出结论：只要修改MAC地址，就可以骗过网络执法官的扫描，从而达到突破封锁的目的。下面是修改网卡MAC地址的方法：

在"开始"菜单的"运行"中输入regedit，打开注册表编辑器，展开注册表到：HKEY_LOCAL_

MACHINE/System/CurrentControl

Set/Control/Class/{4D36E972-E325-11CE-BFC1-08002BE103

18}子键，在子键下的0000，0001，0002等分支中查找DriverDesc（如果你有一块以上的网卡，就有0001，0002......在这里保存了有关你的网卡的信息，其中的DriverDesc内容就是网卡的信息描述，比如我的网卡是Intel 210

41 based Ethernet Controller），在这里假设你的网卡在0000子键。

在0000子键下添加一个字符串，命名为"NetworkAddress"，键值为修改后的MAC地址，要求为连续的12个16进制数。然后在"0000"子键下的NDI/params中新建一项名为NetworkAddress的子键，在该子键下添加名为"default"的字符串，键值为修改后的MAC地址。

在NetworkAddress的子键下继续建立名为"ParamDesc"的字符串，其作用为指定Network

Address的描述，其值可为"MAC Address"。这样以后打开网络邻居的"属性"，双击相应的网卡就会发现有一个"高级"设置，其下存在MAC Address的选项，它就是你在注册表中加入的新项"NetworkAddress"，以后只要在此修改MAC地址就可以了。

关闭注册表，重新启动，你的网卡地址已改。打开网络邻居的属性，双击相应网卡项会发现有一个MAC Address的高级设置项，用于直接修改MAC地址。

MAC地址也叫物理地址、硬件地址或链路地址，由网络设备制造商生产时写在硬件内部。这个地址与网络无关，即无论将带有这个地址的硬件（如网卡、集线器、路由器等）接入到网络的何处，它都有相同的MAC地址，MAC地址一般不可改变，不能由用户自己设定。MAC地址通常表示为12个16进制数，每2个16进制数之间用冒号隔开，如：08:00:20:0A:8C:6D就是一个MAC地址，其中前6位16进制数，08:00:20代表网络硬件制造商的编号，它由IEEE分配，而后3位16进制数0A:8C:6D代表该制造商所制造的某个网络产品（如网卡）的系列号。每个网络制造商必须确保它所制造的每个以太网设备都具有相同的前三字节以及不同的后三个字节。这样就可保证世界上每个以太网设备都具有唯一的MAC地址。

另外，网络执法官的原理是通过ARP欺骗发给某台电脑有关假的网关IP地址所对应的MAC地址，使其找不到网关真正的MAC地址。因此，只要我们修改IP到MAC的映射就可使网络执法官的ARP欺骗失效，就隔开突破它的限制。你可以事先Ping一下网关，然后再用ARP -a命令得到网关的MAC地址，最后用ARP -s IP 网卡MAC地址命令把网关的IP地址和它的MAC地址映射起来就可以了。

4.找到使你无法上网的对方

解除了网络执法官的封锁后，我们可以利用Arpkiller的"Sniffer杀手"扫描整个局域网IP段，然后查找处在"混杂"模式下的计算机，就可以发现对方了。具体方法是：运行Arpkiller（图2），然后点击"Sniffer监测工具"，在出现的"Sniffer杀手"窗口中输入检测的起始和终止IP（图3），单击"开始检测"就可以了。

检测完成后，如果相应的IP是绿帽子图标，说明这个IP处于正常模式，如果是红帽子则说明该网卡处于混杂模式。它就是我们的目标，就是这个家伙在用网络执法官在捣乱。

扫描时自己也处在混杂模式，把自己不能算在其中哦！

找到对方后怎么对付他就是你的事了，比方说你可以利用网络执法官把对方也给封锁了！:-)

如何处理ARP的攻击技巧

以下是OMG小编为大家收集整理的文章，希望对大家有所帮助。

从原理和应用谈解决ARP攻击的方法：

很多网吧和企业网络不稳，无故掉线，经济蒙受了很大的损失。根据情况可以看出这是一种存在于网络中的一种普遍问题。出现此类问题的主要原因就是遭受了ARP攻击。现在ARP不只是协议的简写，还成了掉线的代名词。由于其变种版本之多，传播速度之快，很多技术人员和企业对其束手无策。下面就来给大家从原理到应用谈一谈这方面的话题。希望能够帮大家解决此类问题，净化网络环境。

在局域网中，通过ARP协议来完成IP地址转换为第二层物理地址，实现局域网机器的通信。ARP协议对网络安全具有重要的意义。这是建立在相互信任的基础上。如果通过伪造IP地址和MAC地址实现ARP欺骗，将在网络中产生大量的ARP通信量使网络阻塞、掉线、重定向、嗅探攻击。

我们知道每个主机都用一个ARP高速缓存，存放最近IP地址到MAC硬件地址之间的映射记录。windows高速缓存中的每一条记录的生存时间一般为60秒，起始时间从被创建时开始算起。默认情况下，ARP从缓存中读取IP-MAC条目，缓存中的IP-MAC条目是根据ARP响应包动态变化的。因此，只要网络上有ARP响应包发送到本机，即会更新ARP高速缓存中的IP-MAC条目。如：X向Y发送一个自己伪造的ARP应答，而这个应答中的数据发送方IP地址是192.168.1.3(Z的IP地址)，MAC地址是DD-DD-DD-DD-DD-DD(Z的真实MAC地址却是CC-CC-CC-CC-CC-CC，这里被伪造了)。当Y接收到X伪造的ARP应答，就会更新本地的ARP缓存(Y可不知道被伪造了)。那么如果伪造成网关呢?

Switch上同样维护着一个动态的MAC缓存，它一般是这样，首先，交换机内部有一个对应的列表，交换机的端口对应MAC地址表Port n - Mac记录着每一个端口下面存在那些MAC地址，这个表开始是空的，交换机从来往数据帧中学习。因为MAC-PORT缓存表是动态更新的，那么让整个 Switch的端口表都改变，对Switch进行MAC地址欺骗的Flood，不断发送大量假MAC地址的数据包，Switch就更新MAC-PORT缓存，如果能通过这样的办法把以前正常的MAC和Port对应的关系破坏了，那么Switch就会进行泛洪发送给每一个端口，让Switch基本变成一个 HUB，向所有的端口发送数据包，要进行嗅探攻击的目的一样能够达到。也将造成Switch MAC-PORT缓存的崩溃，如下面交换机中日志所示：

Internet 192.168.1.4 0000b.cd85.a193 ARPAVlan256

Internet 192.168.1.5 0000b.cd85.a193 ARPAVlan256

Internet 192.168.1.6 0000b.cd85.a193 ARPAVlan256

Internet 192.168.1.7 0000b.cd85.a193 ARPAVlan256

Internet 192.168.1.8 0000b.cd85.a193 ARPAVlan256

Internet 192.168.1.9 0000b.cd85.a193 ARPAVlan256

ARP攻击时的主要现象

网上银行、保密数据的频繁丢失。当局域网内某台主机运行ARP欺骗的木马程序时，会欺骗局域网内所有主机和路由器，让所有上网的流量必须经过病毒主机。其他用户原来直接通过路由器上网现在转由通过病毒主机上网，切换的时候用户会断一次线。切换到病毒主机上网后，如果用户已经登陆服务器，那么病毒主机就会经常伪造断线的假像，那么用户就得重新登录服务器，这样病毒主机就可以窃取所有机器的资料了。

网速时快时慢，极其不稳定，但单机进行光纤数据测试时一切正常。局域网内频繁性区域或整体掉线，重启计算机或网络设备后恢复正常

由于ARP欺骗的木马程序发作的时候会发出大量的数据包导致局域网通讯拥塞以及其自身处理能力的限制，用户会感觉上网速度越来越慢。当ARP欺骗的木马程序停止运行时，用户会恢复从路由器上网，切换过程中用户会再次断线。

ARP的解决办法：

目前来看普遍的解决办法都是采用双绑,具体方法：

先找到正确的 网关 IP 网关物理地址 然后 在客户端做对网关的arp绑定。

步骤一：

查找本网段的网关地址，比如192.168.1.1，以下以此网关为例。在正常上网时，“开始→运行→cmd→确定”，输入：arp -a，点回车，查看网关对应的Physical Address。

比如：网关192.168.1.1 对应0A-0B-0C-0D-0E-0F。

步骤二：

编写一个批处理文件rarp.bat，内容如下：

@echo off

arp -d

arp -s 192.168.1.1 0A-0B-0C-0D-0E-0F

保存为：rarp.bat。

步骤三：

运行批处理文件将这个批处理文件拖到“windows→开始→程序→启动”中。

但双绑并不能彻底解决ARP问题，IP冲突以及一些ARP变种是不能应对的。

再有就是采用防ARP的硬件路由，但价格很高,并且不能保证在大量攻击出现地情况下稳定工作.那么现在就没有，有效并能够彻底的解决办法了吗?有的，那就是采用能够以底层驱动的方式工作的软件，并全网部署来防范ARP问题.

此类软件是通过系统底层核心驱动，以服务及进程并存的形式随系统启动并运行，不占用计算机系统资源。这种方式不同于双绑。因为它是对通信中的数据包进行分析与判断，只有合法的包才可以被放行。非法包就被丢弃掉了。也不用担心计算机会在重启后新建ARP缓存列表，因为是以服务与进程相结合的形式 存在于计算机中，当计算机重启后软件的防护功能也会随操作系统自动启动并工作。

目前满足这一要求的并能出色工作的软件推荐大家选用ARP卫士，此软件不仅仅解决了ARP问题，同时也拥有内网洪水防护功能与P2P限速功能。

ARP卫士在系统网络的底层安装了一个核心驱动,通过这个核心驱动过滤所有的ARP数据包,对每个ARP应答进行判断,只有符合规则的ARP包,才会被进一步处理.这样,就实现防御了计算机被欺骗. 同时,ARP卫士对每一个发送出去的ARP应答都进行检测,只有符合规则的ARP数据包才会被发送出去,这样就实现了对发送攻击的拦截...

洪水拦截：通过此项设置，可以对规则列表中出现了SYN洪水攻击、UDP洪水攻击、ICMP洪水攻击的机器进行惩罚。当局域网 内某台计算机所发送的SYN报文、UDP报文、ICMP报文超出此项设置中所规定的上限时，“ARP卫士”客户端将会按 照预设值对其进行相应惩罚。在惩罚时间内，这台计算机将不会再向网络内发送相应报文。但惩罚不会对已建立 的连接产生影响。

流量控制：通过此项设置，可以对规则列表中的所有计算机进行广域网及局域网的上传及下载流量进行限制(即所谓的网络 限速)。鼠标右键单击“排除机器列表”窗口即可对其中内容进行修改、编辑。存在于“排除机器列表”中的IP地址将不 会受到流量控制的约束。

ARP Guard(ARP卫士)的确可以从根本上彻底解 决ARP欺骗攻击所带来的所有问题。它不仅可以保护计算机不受ARP欺骗攻击的影响，而且还会对感染了ARP攻击病毒或欺骗木马的 病毒源机器进行控制，使其不能对局域网内其它计算机进行欺骗攻击。保持网络正常通讯，防止带有ARP欺骗攻击的机器对网内计 算机的监听，使浏览网页、数据传输时不受ARP欺骗者限制。

总体来看我觉得这个软件是目前市面上最好的了。同时在线客服工作也很负责。但有些时候对于网管来说还是不太方便。比如管理端换了IP。那么下面的客户端只能重新指向新的IP。再有软件不能对所有的无盘系统都支持。对LINUX操作系统也不能支持。希望这些能够尽快被软件开发商注意并及时更新。好了，说了这么多，希望能够给大家解决ARP掉线问题，提供帮助。

arp攻击的原理是什么？

arp攻击的原理

arp在目前看来可以分为7中之多。

1、arp欺骗（网关、pc）

2、arp攻击

3、arp残缺

4、海量arp

5、二代arp（假ip、假mac)

因为二代的arp最难解决，现在我就分析一下二代arp的问题。

现象 ARP出现了新变种，二代ARP攻击已经具有自动传播能力，已有的宏文件绑定方式已经被破，网络有面临新一轮的掉线和卡滞盗号的影响！

原理

二代ARP主要表现在病毒通过网络访问或是主机间的访问互相传播。由于病毒已

经感染到电脑主机，可以轻而易举的清除掉客户机电脑上的ARP静态绑定（首先执行的是arp -d然后在执行的是arp -s ，此时绑定的是一个错误的MAC)伴随着绑定的取消，错误的网关IP和MAC的对应并可以顺利的写到客户机电脑，ARP的攻击又畅通无阻了。

通过对arp原理的分析：

arp攻击的一般解决办法如下 ：

1）部分用户采用的“双/单项绑定”后，ARP攻击得到了一定的控制。

面临问题双绑和单绑都需要在客户机上绑定。二代ARP攻击会清除电脑上的绑定，使得电脑静态绑定的方式无效。

（2）部分用户采用一种叫作“循环绑定”的办法，就是每过一段“时间”客户端自动绑定一个“IP/MAC”。

面临问题如果我们“循环绑定”的时间较长（比arp清除的时间长）就是说在“循环绑定”进行第二次绑定之前就被清除了，这样对arp的防范仍然无效。如果“循环绑定”的时间过短（比arp清除时间短）这块就会暂用更多的系统资源，这样就是“得不偿失”

（3）部分用户采用一种叫作“arp防护”，就是网关每过一段时间按照一定的“频率”在内网发送正确网关“IP/MAC”

面临问题如果发送的“频率”过快（每秒发送的ARP多）就会严重的消耗内网的资源（容易造成内网的堵塞），如果发送“频率”太慢（没有arp协议攻击发出来频率高）在arp防范上面没有丝毫的作用。

最彻底的解决办法

（4）arp是个“双头怪”要想彻底解决必须要“首尾兼顾”有两种方式可以实现

第一 采用“看守式绑定”的方法，实时监控电脑ARP缓存，确保缓存内网关MAC和IP的正确对应。在arp缓存表里会有一个静态的绑定，如果受到arp的攻击，或只要有公网的请求时，这个静态的绑定又会自动的跳出，所以并不影响网络的正确的访问。这种方式是安全与网卡功能融合的一种表现，也叫作“终端抑制”

第二就是在网络接入架构上要有“安全和网络功能的融合”就是在接入网关做NAT的时候不是按照传统路由那样根据“MAC/IP”映射表来转发数据，而是根据他们在NAT表中的MAC来确定（这样就会是只要数据可以转发出去就一定可以回来）就算ARP大规模的爆发，arp表也混乱了但是并不会给我们的网络造成任何影响。（不看IP/MAC映射表）这种方法在现有控制ARP中也是最彻底的。也被称为是“免疫网络”的重要特征。

电脑总是遭受ARP断网攻击怎么办？

反ARP攻击的绝招，让你在ARP的炮雨攻击下永不掉线

你的局域网经常掉线吗？你受过ARP攻击吗？出现过烦人的IP冲突吗？如果有，或者以防后患，请看下文，教你反ARP攻击的绝招，让你在ARP的炮雨攻击下永不掉线。

所遇情况：

第一。局域网中经常有人用网络执法官、剪刀手等工具限制其他人上网，虽然有反网络执法官等软件，但是用起来甚是不爽啊！

第二。局域网中有人中了病毒，自动发送大量ARP攻击到局域网中。

原理：

ARP协议是windows网络中查找IP和网卡的基础。所以不能绕开它。所有的防御ARP攻击的方法，都必须许可ARP协议。以致目前用着还算可以的网络工具比如360安全卫士，都只能监测到攻击信息，却奈何不了他什么。

具体方法：

解决ARP攻击最根本的办法只有一个－－－－－建虚拟网卡。可以使用泡泡鱼虚拟网卡，在大的下载站都有下载。

把虚拟网卡的IP指定为你正常使用的网卡的网关的IP地址，比如你的网卡的地址现在是10.176.168.33,网关是 10.176.168.1,那么给新的虚拟网卡10.176.168.1地址，然后再把新的虚拟网卡点右键禁用掉。这个网卡必须禁用，否则你上网，都跑到 虚拟网卡了，其实它是不通的。