ARP攻击

ARP攻击介绍

ARP（Address Resolution Protocol，地址解析协议）是一个位于TCP/IP协议栈中的底层协议，负责将某个IP地址解析成对应的MAC地址。而ARP攻击就是通过伪造IP地址和MAC地址实现ARP欺骗，能够在网络中产生大量的ARP通信量使网络阻塞，攻击者只要持续不断的发出伪造的ARP响应包就能更改目标主机ARP缓存中的IP-MAC条目，造成网络中断或中间人攻击。这是一种“中间人”（MAN-IN-MIDDLE）攻击技术。
电脑遭受到典型的ARP攻击后会表现为：使用局域网时会突然掉线，过一段时间后又会恢复正常。比如客户端状态频频变红，用户频繁断网，IE浏览器频繁出错，以及一些常用软件出现故障等。如果局域网中是通过身份认证上网的，会突然出现可认证，但不能上网的现象（无法ping通网关），重启机器或在MS-DOS窗口下运行命令arp -d后，又可恢复上网。
ARP欺骗木马只需成功感染一台电脑，就可能导致整个局域网都无法上网，严重的甚至可能带来整个网络的瘫痪。该木马发作时除了会导致同一局域网内的其他用户上网出现时断时续的现象外，还会窃取用户密码。如盗取QQ密码、盗取各种网络游戏密码和账号去做金钱交易，盗窃网上银行账号来做非法交易活动等

ARP攻击实战

工具: kali 中 ettercap

操作:

使用ettercap中的搜素获得局域网内的目标，选中目标主机和网关作为目标，选择arp欺骗攻击。
开始攻击后，网卡能够读取到目标主机的全部流量，可以使用wireshark进行抓包分析目标行为。

我们也可以用 kali 中的 arpspoof命令来进行对目标机的断网攻击

arpspoof -i eth0 -t 目标IP地址 网关              

使用本命令解除攻击

bash -c 'echo 1 > /proc/sys/net/ipv4/ip_forward'

ARP攻击检测

检测：

1、网络频繁掉线

2、网速突然变慢

3、使用arp -a命令查看的网关mac地址与真实的网关mac地址不同

4、使用嗅探软件发现局域网内存在大量arp应答包

ARP的防护

在我们真实环境下的ARP攻击主要有三种：

1.攻击者的ip和MAC地址是真实的

2.攻击者伪造ip地址，但是正确的MAC地址

3.攻击者伪造ip地址和MAC地址

对于前两种手段，想要找到攻击的源主机还是比较容易的，第三种就有些麻烦。

日常防护:
1.在pc端上做ip和MAC地址的绑定

2.在网络设备层面可以做ip mac 和端口的绑定，限制端口只能学习一个MAC地址，也可以做AAA认证，可以提前录入MAC地址，当终端连接时先判断合法性

3.可以部署一些arp防御软件，有条件的可以部署些arp防护的设备

ARP欺骗的危害

1、使同一网段内其他用户无法上网

2、可以嗅探到交换式局域网中的所有数据包

3、对信息进行篡改

4、可以控制局域网内任何主机