什么是ARP欺骗？

在现代网络中，那些用于实现通信的协议也可能成为漏洞的来源。地址解析协议（ARP）就是一个典型的例子。

自20世纪80年代以来，ARP一直被用作实现网络通信的手段。然而，ARP也容易受到“ARP缓存中毒”攻击的威胁——这种攻击会劫持ARP消息，从而截获通信内容并转移网络流量。本文介绍了ARP缓存中毒的原理，并提供了一些检测和预防此类攻击的重要技巧。

什么是ARP？

地址解析协议（ARP）是网络基础设施中不可或缺的一部分。将每个IP地址映射到一个本地MAC地址。.

ARP工作在OSI模型的第二层数据链路层，其作用是将IP地址（第三层）转换为MAC地址，从而让设备能够在本地网络上进行通信。这样，具有固定地址的本地设备就可以连接到互联网上，而互联网上的IP地址则处于不断变化的状态。此外，ARP还能通过创建一致的MAC地址与IP地址对应关系，来优化网络设备之间的内部通信。

ARP欺骗/ARP中毒的定义

ARP poisoning是一种网络攻击技术。破坏IP地址与MAC地址之间的网络连接攻击者利用了ARP协议中的漏洞，使得第三方可以通过伪造的ARP响应来拦截消息。这样一来，恶意行为者就可以通过这种方式窃取数据了。将网络流量引导到外部位置.

ARP欺骗的工作原理是什么？

ARP自1982年以来一直存在，其设计初衷并未考虑到现代网络安全方面的需求。例如，ARP并不对网络设备之间的握手过程进行验证。这个漏洞使得攻击者能够通过一种称为ARP欺骗或ARP伪造的技术，来模仿合法设备的行为。

在ARP欺骗攻击中，第三方设备会拦截连接请求，然后代表目标接收者进行响应。由于ARP协议并不对连接进行身份验证，因此这种攻击方式仍然可以被利用。原始设备将收到的响应视为合法信息，并将数据发送到攻击者的地址。

让我们更详细地了解一下这个过程。这种类型的ARP攻击通常分为三个阶段来实施：

• 受害者选择威胁行为者会寻找那些能够接收有价值数据的网络终端，或者那些可以被他们用来造成破坏的网络终端。例如，路由器是常见的攻击目标，因为它们可以控制更大的子网。如果某个路由器被破坏，那么相关的工作地点或网站就会陷入瘫痪状态。
• 发起攻击ARP攻击者会为每项任务选择合适的工具，然后向目标设备发送ARP连接请求，或者等待来自网络节点的连接请求。攻击者会回应这些请求，而目标设备则会将攻击者的IP地址添加到网络地址表中。这样一来，目标设备被损坏的ARP缓存所欺骗，认为攻击者的设备是合法的。
• 转移并利用网络流量作为武器通过破坏目标设备的ARP缓存，攻击者可以伪装成合法的设备来操控网络流量。接下来，他们需要决定如何处理被重新路由的流量。攻击者可以监控数据传输过程，修改传输中的数据，或者将流量永久地转移到他们控制的外部服务器上。

上述过程适用于……中间人这种攻击方式属于ARP攻击的一种，不过还有其他类型的攻击方式。攻击者还可以利用ARP欺骗来发起攻击。服务拒绝攻击通过发送大量ARP消息来实现。

ARP欺骗还具备其他功能。会话劫持与中间人攻击类似，攻击者也会利用ARP消息将自己置于合法网络设备的之间。他们并非试图转移数据，而是从目标网络的通信中窃取 cookie或TCP序列号。这样一来，他们就能劫持正在进行的网络会话。

ARP中毒会带来哪些后果呢？

ARP欺骗攻击的直接影响就是会改变网络流量流向。攻击者会将网络流量引导到他们指定的目标位置。这一过程可能会带来许多间接的负面影响和危害。

网络用户通常不会受到直接的负面影响。ARP缓存中毒攻击通常不会对网络的长期稳定性产生严重的负面影响。通常情况下，ARP表的超时机制会自动删除被伪造的IP地址，从而恢复正常的流量流动。

如果攻击者将大量ARP数据包发送到虚假的地址，或者通过ARP缓存中毒的方式发起DoS攻击，那么网络性能和访问能力将会受到严重影响。当攻击者利用窃取到的数据进行恶意操作时，后果将更加严重。

在这种情况下，ARP欺骗攻击可能会导致……数据泄露此外，ARP中毒攻击还会造成声誉损害，以及导致用户不得不支付罚款。这种攻击方式还可以让竞争对手获取用户的知识产权，或者引发后续的网络钓鱼攻击和勒索软件攻击。

注意：犯罪分子很少单独使用ARP欺骗手段来实施犯罪。攻击者结合了相对较为原始的ARP协议攻击手段，以及DNS缓存劫持、凭据提取工具、用于劫持会话cookie的脚本，还有数据包注入工具。这些工具共同构成了网络攻击的强大武器库。

ARP中毒攻击的例子

ARP欺骗虽然并不经常成为新闻焦点，但这种技术却在破坏网络攻击中发挥着至关重要的作用。现实世界中，涉及ARP缓存欺骗的攻击案例有很多。

• LuminousMoth这个中国攻击团队在“中间人攻击”中使用了ARP欺骗技术。LuminousMoth成功利用了ARP欺骗技术，将来自东南亚各政府机构的网络流量转移到了其他目标地点。
• 剪刀伊朗的攻击小组“Cleaver”还使用自制的工具来实施ARP欺骗攻击。在钓鱼活动中，Cleaver结合了ARP欺骗攻击方式，同时利用凭据提取工具和伪造的LinkedIn个人资料来进行攻击。
• EttercapEttercap是一种流行的现成工具，用于发起ARP协议攻击。该工具通过简单的图形用户界面来自动化MAC地址的响应操作。只要攻击者知道目标机器的IP地址，他们就可以使用Ettercap来拦截通信数据、实施DoS攻击，甚至修改传输中的数据内容。

如何检测ARP欺骗行为

虽然ARP本身并没有什么防御功能，但目标可以在攻击达到关键阶段之前检测到ARP缓存欺骗行为。检测ARP欺骗主要有两种方法：

使用命令提示符

Windows用户可以打开命令提示符，然后输入“arp -a”命令。而Linux用户则可以通过终端来执行相同的命令。该命令会生成ARP表，其中包含了活跃的IP地址和MAC地址信息。如果表中出现了两个具有相同MAC地址的IP地址，那么很可能正在发生ARP欺骗攻击。

数据包过滤工具

像arpwatch这样的数据包检测工具，会分析ARP数据包，以发现与缓存中毒相关的迹象。例如，这些工具可以检测到没有相应请求而出现的过多ARP响应情况——这通常是攻击者发起ARP攻击的方式。此外，这些工具还会检查MAC地址数据中的异常情况，比如某个MAC地址对应多个IP地址的情况。

如何防止ARP欺骗攻击

在网络安全领域，预防总是比治疗更为重要。各组织应该采取相应的策略，在攻击者发起攻击之前就阻止ARP欺骗行为的发生。

请记住，ARP攻击所带来的开销其实很低。当攻击者遇到有效的防御措施时，他们通常会选择放弃这次攻击。以下是一些可以阻止他们发起攻击的建议：

• 使用基于主机的预防工具。在关键服务器和工作站上安装诸如arpwatch这样的工具。配置这些工具，使其在检测到可疑的IP或MAC地址表发生变化时发出警报。
• 请启用开关安全功能。启用/激活动态ARP检查(DAI)以及DHCP监听在关键的网络交换机上，ARP检查功能可以实时检测网络流量，并丢弃那些可能被认定为恶意的数据包。而DHCP监听功能则能够在受管理的交换机上建立可靠的IP-MAC绑定表，从而阻止不可信的ARP连接。
• 请检查您的端口安全性设置。不安全的端口可能会为ARP攻击者提供进入系统的机会。因此，应配置这些端口，使得每个交换机端口上只能有一个MAC地址被允许使用。这样就能有效防止那些利用缓存中毒攻击手段进行的MAC flooding攻击了。
• 请安装高级的恶意软件防护工具。在ARP欺骗攻击中，攻击者通常会利用恶意软件来窃取数据。因此，必须采用强大的端点检测与响应工具，同时使用最新的反恶意软件工具来清除潜在的威胁。
• 使用网络分段技术。网络分段可以限制恶意行为者传播恶意ARP响应的能力，从而降低欺骗行为的影响。从逻辑上划分网络可以将数据被截获的风险降到最低，同时也能避免其演变成具有破坏性的DoS攻击。
• 可以考虑使用静态ARP条目。静态地址表可以将MAC地址与固定的IP地址进行匹配。这种方法能够有效阻止ARP欺骗攻击，但也会增加管理员的负担，因为网络发生变化时就需要对地址表进行更新。不过，当需要保护那些变化频率较低的敏感数据时，使用静态IP地址表仍然是明智的选择。

加强网络安全措施，以阻止ARP欺骗攻击。

ARP欺骗利用了ARP协议中的漏洞，该协议用于连接网络中的MAC地址和IP地址。攻击者可以通过这种手段发起中间人攻击，向网络发送大量DoS攻击流量，甚至还可以窃取数据以用于恶意目的。

专门的工具和命令可以帮助检测ARP欺骗行为，但更重要的是采取预防措施来避免这种情况。应加强网络交换机和端口的安全性。同时，要防范恶意软件的影响，在必要时使用静态表来限制攻击的范围。