什么是动态ARP检查？

攻击者有多种方式可以试图进入网络，以获取机密信息，或者试图通过发送大量不必要的请求来阻塞网络。网络安全管理员则致力于为网络提供安全保障。ARP欺骗就是其中一种攻击手段。动态ARP检查则可以用来保障网络的安全。在本文中，我们将详细了解ARP欺骗和动态ARP检查的相关内容。

ARP欺骗攻击

这是一种网络攻击方式。攻击者会发送ARP数据包，伪造受害者设备在局域网中的MAC地址。这样一来，交换机就会把数据包发送到攻击者的设备（即被伪造的地址），而不是发送到合法的设备上。这种攻击属于中间人攻击的一种形式。这种攻击可能导致各种安全威胁，比如会话劫持、DoS攻击、网络窃听以及DNS缓存欺骗等。

术语定义

• ARP：ARP这个缩写代表地址解析协议。它是OSI模型中数据链路层中最重要的协议之一。它的作用就是从已知的IP地址中找出该主机的硬件地址。
• 局域网：LAN“LAN”这个缩写代表的是“局域网”。它是一种计算机之间相互连接的网络类型。仅限于某些特定区域，比如家中、办公室或建筑物内部。
• DoS这是一种网络攻击方式，攻击者通过发送大量无关的请求来使网络无法为授权用户提供服务。
• DHCP：动态主机配置协议DHCP是动态主机配置协议的缩写。DHCP服务器负责维护网络中IP地址与MAC地址之间的对应关系。

ARP欺骗攻击的工作原理

假设有一个小型网络（如图所示），其中PC1的MAC地址为10.10.10.10，MAC地址为mac-aa:aa:aa:aa:aa:aa；PC2的MAC地址为10.10.10.20，MAC地址为mac-bb:bb:bb:bb:bb:bb；PC3的MAC地址为10.10.10.30，MAC地址为mac-cc:cc:cc:cc:cc。这些设备都连接到了交换机上。 PC3属于攻击者，而PC2则属于受害者。当PC1想要与PC2进行通信时，它会发送一个ARP请求，以获取与PC2的IP地址相关的MAC地址。 当PC2回复其MAC地址时（即cc:cc:cc…），交换机和PC1会保留PC3的MAC地址和IP地址，从而继续使用它们的ARP缓存。

欺骗行为的开始：攻击者向PC1发送了恶意ARP数据包，声称IP地址为10.10.10.20的设备确实存在于该MAC地址上。 现在，PC1和Switch都会更新它们的ARP缓存，将受害者（PC2）的IP地址10.10.10.20与攻击者（PC2）的MAC地址cc:cc:cc:cc:cc:cc绑定在一起。 当PC1向PC3发送数据包时，该数据包会被发送给PC3（即攻击者），而不是PC2。因为PC1和交换机的ARP表中都保存着攻击者的MAC地址，以及受害者（PC2）的IP地址。 现在，攻击者已经进入了该网络。 攻击者可以轻易地窃取这些数据，然后向PC2（即受害者）发送数据包。 攻击者可以轻易地操纵这些数据，或者继续对受害者或网络发起攻击。因为该网络拥有PC1和PC2的MAC地址。

DIA的工作原理

当设备A希望获取另一个设备B的MAC地址时，它会向网络发送一个ARP请求。设备B则会回复一个包含其MAC地址以及IP地址的响应。 DHCP服务器会记录ARP请求和响应信息，并维护一个映射IP地址与MAC地址的表格。 这个DHCP服务器负责维护网络中IP地址与MAC地址之间的合法映射关系。 当DAI截获到一个ARP数据包时（无论是响应还是请求），它会将该数据包中的信息与DHCP服务器上的记录进行比对，包括源IP地址、源MAC地址、目标IP地址以及目标MAC地址等。 如果ARP数据包中的信息与DHCP服务器中绑定表的记录相匹配，那么就可以向目标地址发送大量数据。 如果DIA检测到ARP数据包中的信息与DHCP服务器上的记录不符，那么它会采取各种措施，比如将该数据包丢弃并记录相关日志。以及 r有局限性/有限制,为了预防潜在的ARP欺骗攻击。