ARP欺騙原理與模擬

本文只是協議學習中的心得，所示范的試驗方法僅用作學習的目的，請大家不要惡意使用

一 什么是ARP協議？

ARP協議是“Address Resolution Protocol”（地址解析協議）的縮寫。在局域網中，網絡中實際傳輸的是“幀”，幀里面是有目標主機的MAC地址的。在以太網中，一個主機要和另一個主機進行直接通信，必須要知道目標主機的MAC地址。但這個目標MAC地址是如何獲得的呢？它就是通過地址解析協議獲得的。所謂“地址解析”就是主機在發送幀前將目標IP地址轉換成目標MAC地址的過程。ARP協議的基本功能就是通過目標設備的IP地址，查詢目標設備的MAC地址，以保證通信的順利進行。所以說從某種意義上講ARP協議是工作在更低于IP協議的協議層。這也是為什么ARP欺騙更能夠讓人在神不知鬼不覺的情況下出現網絡故障，他的危害更加隱蔽。

二 ARP欺騙的原理：

首先我們可以肯定一點的就是發送ARP欺騙包是通過一個惡毒的程序自動發送的，正常的TCP/IP網絡是不會有這樣的錯誤包發送的，而人工發送又比較麻煩。也就是說當黑客沒有運行這個惡毒程序的話，網絡上通信應該是一切正常的，保留在各個連接網絡計算機上的ARP緩存表也應該是正確的，只有程序啟動開始發送錯誤ARP信息以及ARP欺騙包時才會讓某些計算機訪問網絡出現問題。接下來我們來闡述下ARP欺騙的原理。

第一步：假設這樣一個網絡，一個Hub或交換機連接了3臺機器，依次是計算機A，B，C。

A的地址為：IP：192.168.1.1 MAC: AA-AA-AA-AA-AA-AA B的地址為：IP：192.168.1.2 MAC: BB-BB-BB-BB-BB-BB C的地址為：IP：192.168.1.3 MAC: CC-CC-CC-CC-CC-CC

第二步：正常情況下在A計算機上運行ARP -A查詢ARP緩存表應該出現如下信息。

Interface: 192.168.1.1 on Interface 0x1000003 Internet Address Physical Address Type 192.168.1.3 CC-CC-CC-CC-CC-CC dynamic

第三步：在計算機B上運行ARP欺騙程序，來發送ARP欺騙包。

B向A發送一個自己偽造的ARP應答，而這個應答中的數據為發送方IP地址是192.168.10.3（C的IP地址），MAC地址是DD-DD-DD-DD-DD-DD（C的MAC地址本來應該是CC-CC-CC-CC-CC-CC，這里被偽造了）。當A接收到B偽造的ARP應答，就會更新本地的ARP緩存（A可不知道被偽造了）。而且A不知道其實是從B發送過來的，A這里只有192.168.10.3（C的IP地址）和無效的DD-DD-DD-DD-DD-DD mac地址。

第四步：欺騙完畢我們在A計算機上運行ARP -A來查詢ARP緩存信息。你會發現原來正確的信息現在已經出現了錯誤。

Interface: 192.168.1.1 on Interface 0x1000003 Internet Address Physical Address Type 192.168.1.3 DD-DD-DD-DD-DD-DD dynamic

從上面的介紹我們可以清楚的明白原來網絡中傳輸數據包最后都是要根據MAC地址信息的，也就是說雖然我們日常通訊都是通過IP地址，但是最后還是需要通過ARP協議進行地址轉換，將IP地址變為MAC地址。而上面例子中在計算機A上的關于計算機C的MAC地址已經錯誤了，所以即使以后從A計算機訪問C計算機這個192.168.1.3這個地址也會被ARP協議錯誤的解析成MAC地址為DD-DD-DD-DD-DD-DD的。問題也會隨著ARP欺騙包針對網關而變本加厲，當局域網中一臺機器，反復向其他機器，特別是向網關，發送這樣無效假冒的ARP應答信息包時，嚴重的網絡堵塞就會開始。由于網關MAC地址錯誤，所以從網絡中計算機發來的數據無法正常發到網關，自然無法正常上網。這就造成了無法訪問外網的問題，另外由于很多時候網關還控制著我們的局域網LAN上網，所以這時我們的LAN訪問也就出現問題了。

（以上2節內容摘抄于網絡）

三 ARP欺騙的模擬：

下面我們使用科來網絡分析系統進行模擬

一 首先使用 科來物理地址掃描 主機ip與mac地址

219.150.184.46 00:0C:76:20:0F:23

219.150.184.39 00:16:76:C2:BF:84

219.150.184.33 00:E0:FC:12:D0:19

二 使用科來網絡分析系統捕獲一個arp的響應數據包

這里最簡單的辦法就是用ping命令去ping一臺主機，在科來網絡分析系統系統中設置過濾器僅捕獲arp協議

三 把捕獲到的arp相應發送到數據包茍照構造器并進行如下修改

四 呵呵，剩下的就是把這個數據包發送出去了，

發送前用arp –a命令在219.150.184.46上看一下

這是正確的網關的ip與mac的對應關系

好了，現在我們就把構造的數據包發送出去

發送后在用arp –a命令在219.150.184.46上看一下

ok，219.150.184.46上面的網關的ip地址已經被映射到了我們的主機上了，你再用219.150.184.46去試下，是不是不能上網了？！呵呵！

總結

以上是生活随笔為你收集整理的ARP欺骗原理与模拟的全部內容，希望文章能夠幫你解決所遇到的問題。

如果覺得生活随笔網站內容還不錯，歡迎將生活随笔推薦給好友。