ARP欺骗的原理

核心思想

ARP欺骗的本质是“伪造身份，劫持流量”。它利用了网络通信中一个基础但脆弱的环节——ARP协议。

---

1. 基础知识：正常的ARP工作流程

在了解欺骗之前，必须先知道正常的ARP是如何工作的。

· ARP协议的作用：将IP地址解析为MAC地址（网卡物理地址）。局域网内的通信最终依赖MAC地址。

· 示例场景：假设局域网中有三台设备：

· 受害者A： IP 192.168.1.10， MAC AA:AA:AA:AA:AA:AA

· 网关G： IP 192.168.1.1， MAC GG:GG:GG:GG:GG:GG

· 攻击者M： IP 192.168.1.99， MAC MM:MM:MM:MM:MM:MM

正常通信过程：

当A想上网（访问外网）时，它需要把数据包发给网关G。但A只知道G的IP是192.168.1.1，不知道其MAC地址。

1. A会在局域网内广播一个ARP请求： “谁是192.168.1.1？ 请告诉192.168.1.10。”

2. 网关G收到后，会单播回复一个ARP应答： “我是192.168.1.1，我的MAC是GG:GG:GG:GG:GG:GG。”

3. A收到应答后，将IP: 192.168.1.1和MAC: GG:GG:GG:GG:GG:GG的对应关系存入自己的ARP缓存表。

4. 此后，A要发送给外网的数据包，都会封装上目标MAC地址GG:GG:GG:GG:GG:GG，顺利到达网关。

ARP协议的关键缺陷： 它是一个无状态的、信任的协议。设备会无条件相信收到的ARP应答，即使它没有发出过对应的请求（无故ARP），并且会用新收到的信息直接覆盖缓存表中的旧记录，而不做真实性验证。

---

2. ARP欺骗的攻击原理

攻击者M正是利用了上述缺陷。

攻击目标： 让受害者A和网关G都错误地认为攻击者M的MAC地址是对方的MAC地址。

攻击步骤：

第一步：对受害者A进行欺骗

· 攻击者M主动向受害者A发送一个伪造的ARP应答包（并非回应A的请求）。

· 这个包里声称： “IP地址 192.168.1.1（网关） 对应的MAC地址是 MM:MM:MM:MM:MM:MM（攻击者自己的MAC）”。

· 受害者A收到后，由于ARP协议的缺陷，会毫不犹豫地更新自己的ARP缓存表，将网关IP(192.168.1.1)和攻击者MAC(MM:MM:MM:MM:MM:MM)绑定。

第二步：对网关G进行欺骗

· 同时，攻击者M也向网关G发送一个伪造的ARP应答包。

· 这个包里声称： “IP地址 192.168.1.10（受害者A） 对应的MAC地址是 MM:MM:MM:MM:MM:MM（攻击者自己的MAC）”。

· 网关G同样会更新自己的ARP缓存表，将A的IP(192.168.1.10)和攻击者MAC(MM:MM:MM:MM:MM:MM)绑定。

结果形成了“三角关系”：

· 受害者A认为： 网关(192.168.1.1) = M的MAC

· 网关G认为： 受害者A(192.168.1.10) = M的MAC

· 实际上，攻击者M的MAC地址 MM:MM:MM:MM:MM:MM 同时“冒名顶替”了A和G。

---

3. 流量如何被劫持（中间人攻击）

完成ARP欺骗后，网络流量路径发生变化：

1. 当受害者A要上网时，数据包的目标MAC写的是攻击者M的地址（因为A以为M就是网关）。交换机根据MAC地址将数据包转发给M。

2. 攻击者M收到本应发给网关的数据包后，可以查看、修改这些数据（例如窃取密码、插入恶意代码），然后再转发给真正的网关G（为了不中断连接，让A能正常上网，否则就是DoS攻击）。同样，M会开启系统的IP转发功能。

3. 网关G收到来自外网的回复数据，要发回给A(192.168.1.10)时，查自己的ARP表，发现A的MAC也是M，于是数据包又发给了M。

4. M同样可以查看、修改这些回复数据，然后再转发给受害者A。

这样，攻击者M就神不知鬼不觉地插在了受害者A和网关之间，所有的流量都“流经”M，实现了“中间人攻击”。

---

4. 攻击的持续性与防御

· 持续欺骗：ARP缓存条目有过期时间（通常几分钟）。为了维持攻击，攻击者M会持续地、定时地发送伪造的ARP应答，确保A和G的ARP表一直被“污染”。

· 防御手段：

1. 静态ARP绑定：在重要设备（如服务器、网关）上手动绑定IP-MAC地址对，使其不响应ARP更新。但管理繁琐。

2. ARP防护软件/功能：安装ARP防火墙，能检测并阻止本机ARP缓存被异常更改。企业级交换机可启用 DAI（动态ARP检测） 等安全功能，验证ARP报文的合法性。

3. 网络分段与加密：使用VLAN减少广播域范围，并对关键通信使用HTTPS、SSH、VPN等加密方式。即使流量被劫持，攻击者也无法轻易解密内容。

4. 安全意识：不连接不可信的Wi-Fi网络，尤其是在公共场合。

总结

关键点 说明

利用的漏洞 ARP协议的无状态、无认证设计缺陷。

攻击手段 主动发送伪造的ARP应答，篡改目标设备的ARP缓存表。

攻击目的 实现中间人攻击，进行流量窃听、篡改、会话劫持或DoS。

根本原因 局域网通信依赖MAC地址，而IP到MAC的映射关系可以被恶意伪造。

简单来说，ARP欺骗就像在一个办公室里，有人冒充部门经理（网关）对员工（受害者）说：“以后报告都交给我，我转交给经理。”同时又冒充员工对经理说：“以后指示都发给我，我转交给员工。” 于是，这个骗子就成了所有信息的必经中枢，可以随意查看和篡改。