ARP (Address Resolution Protocol) 的发明人是 David Plummer,David Plummer 创建了 ARP 协议是为了解决在局域网中 IP 地址和物理地址之间的映射问题。他的工作是在局域网中使用 IP 地址进行通信,而不是使用物理地址 (MAC 地址)。ARP协议在 1983年被提出,并在RFC 826中发布。自那时以来,ARP协议成为了局域网中IP和MAC地址之间进行映射的标准。ARP 协议通常用于在局域网 (LAN) 中实现地址解析。当一台计算机要与另一台计算机通信时,首先要知道对方的 MAC 地址。ARP 协议的优势:ARP 协议是一种简单易用的协议,对于网络中的大多数地址解析需求来说已经足够。ARP 协议的弱点:ARP 协议存在安全漏洞,如 ARP 欺骗攻击。今天我们就来谈谈让人烦躁的ARP攻击问题。

 

首先,我们要弄明白正常的ARP的工作原理:

ARP (Address Resolution Protocol) 是一种网络协议,它用于将 IP 地址转换为物理地址 (MAC 地址)。在局域网环境中,每个设备都有一个唯一的 MAC 地址,而 IP 地址是通过 DHCP 服务器动态分配的。

当计算机 A 需要向计算机 B 发送数据时,它需要知道计算机 B 的 MAC 地址。为了确定计算机 B 的 MAC 地址,计算机 A 发送一个 ARP 请求报文,询问局域网中是否有计算机 B 的 IP 地址对应的 MAC 地址。计算机 B 收到该请求后,会发送一个 ARP 应答报文,告诉计算机 A 它的 MAC 地址。

这样,计算机 A 就可以使用计算机 B 的 MAC 地址将数据发送到计算机 B。在这个过程中,ARP 协议允许计算机 A 和计算机 B 在局域网中互相识别。

ARP协议是一种在网络层和数据链路层之间互相转换的协议。在网络层中使用IP地址进行通信,在数据链路层中使用MAC地址进行通信,ARP协议就是负责这两个地址之间的转换。

大家看明白了没?重大缺陷就就在这里:没有对ARP 报文进行身份校验的机制,别人说什么都信,说自己是谁就是谁。这就为层出不穷的ARP攻击”奠定了良好的基础”。不知道今天的David知道了这个情况,会不会气的一口老血吐出。

 

ARP 欺骗攻击(也称为 ARP 中间人攻击)是一种网络安全漏洞,可以让攻击者伪造自己的 MAC 地址来欺骗网络中的其他主机。这样一来,攻击者可以截获和修改网络中的数据包。

下面是一个模拟ARP攻击的示例:

  1. 首先,攻击者需要知道目标主机的 IP 地址和 MAC 地址。可以使用 arp -a 命令来查询。
  2. 接着,攻击者可以使用工具或第三方库(如 scapy)来伪造一个 ARP 响应报文,将自己的 IP 地址和 MAC 地址映射到目标主机的 IP 地址上。
  3. 攻击者可以使用工具或第三方库(如 scapy)来发送这个伪造的 ARP 响应报文。
  4. 目标主机收到伪造的 ARP 响应报文后,会更新 ARP 缓存表,将目标主机的 IP 地址映射到攻击者的 MAC 地址上。
  5. 攻击者可以截获和修改网络中的数据包,因为目标主机会将数据包发送到攻击者的 MAC 地址上。

这是一个简单的示例,在实践中,还需要考虑许多其他因素,如网络配置、安全设备等。

需要注意的是,ARP 欺骗攻击是非常危险的,可能导致数据泄露、网络中断等严重后果。因此,在使用此类技术时应该格外小心,避免出现安全问题。

 

当一台计算机或网络设备受到ARP攻击时,可能出现以下症状:

  1. 网络连接问题:计算机或设备无法连接到网络或连接速度减慢。
  2. 丢失连接:计算机或设备在网络中断线或丢失连接。
  3. 网络慢速:网络速度减慢或不稳定。
  4. 网络流量异常:网络流量异常或不正常。
  5. 网络安全事件:可能会发生网络安全事件,如数据泄露或网络瘫痪。
  6. IP地址冲突:被攻击的设备会导致IP地址冲突。
  7. 中间人攻击:被攻击的设备会导致中间人攻击,使得攻击者可以监听或篡改网络流量。
  8. 账号密码泄露:被攻击的设备会导致账号密码泄露。
  9. 网络服务中断:被攻击的设备会导致网络服务中断,如DNS服务器或防火墙。

这些症状可能不同程度的出现在受攻击的设备上,并可能导致严重的业务影响。

 

知道了ARP攻击的原理,那么我们应该如何尽可能对ARP攻击做出防御呢?

避免 ARP 攻击的一些方法包括:

  1. 启用防火墙: 在网络边界上启用防火墙,可以阻止黑客发送欺骗性 ARP 数据包。
  2. 使用ARP嗅探器: 使用 ARP 嗅探器监测网络上的 ARP 数据包,可以发现欺骗性 ARP 数据包并阻止它们。
  3. 配置静态 ARP: 配置静态 ARP,可以防止黑客欺骗性 ARP 数据包。配置静态 ARP 后,网络设备只能识别已经配置的 IP 地址和 MAC 地址之间的映射。
  4. 禁用未知的ARP: 禁用未知的ARP,禁用未知的ARP数据包,可以防止未知的ARP请求数据包。
  5. 使用VPN:使用 VPN 可以保护网络中的数据,并防止黑客进入网络。
  6. 安装最新的安全补丁:安装最新的安全补丁可以修复网络设备中的漏洞,防止黑客利用这些漏洞进行攻击。

请注意,这些方法并不能百分之百防止 ARP 攻击,但可以有效降低攻击的风险。

 

另外多说一句,现在市场上有些监控网管软件就是利用ARP攻击的欺骗原理工作的,读了这篇文章后,希望大家能对这类软件有个清晰的认识。

★关于WorkWin公司电脑监控软件★

WorkWin的使命是打造Work用途的Windows 电脑系统,有效规范员工上网行为,让老板知道员工每天在做什么(监控包括屏幕、上网在内的一举一动),限制员工不能做什么(禁止网购、游戏、优盘等)。

WorkWin基于纯软件设计,非常容易使用,无需添加或改动任何硬件,使用一台管理机监控全部员工机电脑。历经南京网亚十余年精心打造,此时此刻每天都有成千上万企业电脑正在运行WorkWin,选择WorkWin选择“赢”。

WorkWin介绍

WorkWin监控首页 短视频讲解 下载免费试用版

版权所有,南京网亚计算机有限公司 。本文链接地址: ARP命令的设计本身就有缺陷,才导致了ARP攻击绵延不断

推荐阅读:

  1. 高手进阶,自己编程调用arp命令
  2. 静态arp绑定设置的方法和用途
  3. arp防火墙64位哪里有
  4. 网关ping不通的后果以及解决之道
  5. 网络摄像头远程监控用什么网络?
  6. 快速理解局域网查看工具原理,小白也能看懂
  7. telnet用法,telnet命令所有参数
  8. 默认网关怎么填