ARP欺騙

什麼是ARP

    ARP（Address Resolution Protocol）是地址解析協議，是一種將IP地址轉化成物理地址的協議。從IP地址到物理地址的映射有兩種方式：表格方式和非表格方式。ARP具體說來就是將網絡層（IP層，也就是相當於OSI的第三層）地址解析爲數據連接層（MAC層，也就是相當於OSI的第二層）的MAC地址。

    ARP原理：某機器A要向主機B發送報文，會查詢本地的ARP緩存表，找到B的IP地址對應的MAC地址後，就會進行數據傳輸。如果未找到，則廣播A一個ARP請求報文（攜帶主機A的IP地址Ia——物理地址Pa），請求IP地址爲Ib的主機B回答物理地址Pb。網上所有主機包括B都收到ARP請求，但只有主機B識別自己的IP地址，於是向A主機發回一個ARP響應報文。其中就包含有B的MAC地址，A接收到B的應答後，就會更新本地的ARP緩存。接着使用這個MAC地址發送數據（由網卡附加MAC地址）。因此，本地高速緩存的這個ARP表是本地網絡流通的基礎，而且這個緩存是動態的。

    ARP協議並不只在發送了ARP請求才接收ARP應答。當計算機接收到ARP應答數據包的時候，就會對本地的ARP緩存進行更新，將應答中的IP和MAC地址存儲在ARP緩存中。因此，當局域網中的某臺機器B向A發送一個自己僞造的ARP應答，而如果這個應答是B冒充C僞造來的，即IP地址爲C的IP，而MAC地址是僞造的，則當A接收到B僞造的ARP應答後，就會更新本地的ARP緩存，這樣在A看來C的IP地址沒有變，而它的MAC地址已經不是原來那個了。由於局域網的網絡流通不是根據IP地址進行，而是按照MAC地址進行傳輸。所以，那個僞造出來的MAC地址在A上被改變成一個不存在的MAC地址，這樣就會造成網絡不通，導致A不能Ping通C！這就是一個簡單的ARP欺騙。

ARP欺騙的種類

    ARP欺騙是***常用的***手段之一，ARP欺騙分爲二種，一種是對路由器ARP表的欺騙；另一種是對內網PC的網關欺騙。

    第一種ARP欺騙的原理是——截獲網關數據。它通知路由器一系列錯誤的內網MAC地址，並按照一定的頻率不斷進行，使真實的地址信息無法通過更新保存在路由器中，結果路由器的所有數據只能發送給錯誤的MAC地址，造成正常PC無法收到信息。第二種ARP欺騙的原理是——僞造網關。它的原理是建立假網關，讓被它欺騙的PC向假網關發數據，而不是通過正常的路由器途徑上網。在PC看來，就是上不了網了，“網絡掉線了”。

    一般來說，ARP欺騙***的後果非常嚴重，大多數情況下會造成大面積掉線。有些網管員對此不甚瞭解，出現故障時，認爲PC沒有問題，交換機沒掉線的“本事”，電信也不承認寬帶故障。而且如果第一種ARP欺騙發生時，只要重啓路由器，網絡就能全面恢復，那問題一定是在路由器了。爲此，寬帶路由器背了不少“黑鍋”。

arp欺騙－網絡執法官的原理

    在網絡執法官中，要想限制某臺機器上網，只要點擊"網卡"菜單中的"權限"，選擇指定的網卡號或在用戶列表中點擊該網卡所在行，從右鍵菜單中選擇"權限"，在彈出的對話框中即可限制該用戶的權限。對於未登記網卡，可以這樣限定其上線：只要設定好所有已知用戶（登記）後，將網卡的默認權限改爲禁止上線即可阻止所有未知的網卡上線。使用這兩個功能就可限制用戶上網。其原理是通過ARP欺騙發給被***的電腦一個假的網關IP地址對應的MAC，使其找不到網關真正的MAC地址，這樣就可以禁止其上網。

修改MAC地址突破網絡執法官的封鎖

    根據上面的分析，我們不難得出結論：只要修改MAC地址，就可以騙過網絡執法官的掃描，從而達到突破封鎖的目的。打開網絡鄰居的屬性，雙擊相應網卡項會發現有一個MAC Address的高級設置項，用於直接修改MAC地址。

    MAC地址也叫物理地址、硬件地址或鏈路地址，由網絡設備製造商生產時寫在硬件內部。這個地址與網絡無關，即無論將帶有這個地址的硬件（如網卡、集線器、路由器等）接入到網絡的何處，它都有相同的MAC地址，MAC地址一般不可改變，不能由用戶自己設定。MAC地址通常表示爲12個16進制數，每2個16進制數之間用冒號隔開，如：08:00:20:0A:8C:6D就是一個MAC地址，其中前6位16進制數，08:00:20代表網絡硬件製造商的編號，它由IEEE分配，而後3位16進制數0A:8C:6D代表該製造商所製造的某個網絡產品（如網卡）的系列號。每個網絡製造商必須確保它所製造的每個以太網設備都具有相同的前三字節以及不同的後三個字節。這樣就可保證世界上每個以太網設備都具有唯一的MAC地址。

    另外，網絡執法官的原理是通過ARP欺騙發給某臺電腦有關假的網關IP地址所對應的MAC地址，使其找不到網關真正的MAC地址。因此，只要我們修改IP到MAC的映射就可使網絡執法官的ARP欺騙失效，就隔開突破它的限制。你可以事先Ping一下網關，然後再用ARP -a命令得到網關的MAC地址，最後用ARP -s IP 網卡MAC地址命令把網關的IP地址和它的MAC地址映射起來就可以了。

找到使你無法上網的對方

解除了網絡執法官的封鎖後，我們可以利用Arpkiller的"Sniffer殺手"掃描整個局域網IP段，然後查找處在"混雜"模式下的計算機，就可以發現對方了。具體方法是：運行Arpkiller（圖2），然後點擊"Sniffer監測工具"，在出現的"Sniffer殺手"窗口中輸入檢測的起始和終止IP（圖3），單擊"開始檢測"就可以了。
檢測完成後，如果相應的IP是綠帽子圖標，說明這個IP處於正常模式，如果是紅帽子則說明該網卡處於混雜模式。它就是我們的目標，就是這個傢伙在用網絡執法官在搗亂。

如何防止ARP欺騙

徹底防止ARP欺騙，可以下載專業的ARP防火牆，比如說360的ARP防火牆，和瑞星防火牆（自帶ARP防火牆）。