ARP區域網斷網攻擊分析及演示

ARP斷網攻擊，是針對乙太網地址解析協議（ARP）的一種攻擊技術。此種攻擊可讓攻擊者取得區域網上的資料封包甚至可篡改封包，且可讓網路上特定計算機或所有計算機無法正常連線。

ARP斷網攻擊就是通過偽造IP地址和MAC地址實現ARP欺騙，能夠在網路中產生大量的ARP通訊量使網路阻塞，攻擊者只要持續不斷的發出偽造的ARP響應包就能更改目標主機ARP快取中的IP-MAC條目，造成網路中斷

ARP攻擊原理

ARP攻擊主要是存在於區域網網路中，區域網中若有一臺計算機感染ARP木馬，則感染該ARP木馬的系統將會試圖通過“ARP欺騙”手段截獲所在網路內其它計算機的通訊資訊，並因此造成網內其它計算機的通訊故障。

某機器A要向主機B傳送報文，會查詢本地的ARP快取表，找到B的IP地址對應的MAC地址後，就會進行資料傳輸。如果未找到，則A廣播一個ARP請求報文（攜帶主機A的IP地址Ia——實體地址Pa），請求IP地址為Ib的主機B回答實體地址Pb。網上所有主機包括B都收到ARP請求，但只有主機B識別自己的IP地址，於是向A主機發回一個ARP響應報文。其中就包含有B的MAC地址，A接收到B的應答後，就會更新本地的ARP快取。接著使用這個MAC地址傳送資料（由網絡卡附加MAC地址）。因此，本地快取記憶體的這個ARP表是本地網路流通的基礎，而且這個快取是動態的。(以上是原理)

ARP攻擊操作演示（做滲透測試用，出現任何損失概不負責）

ARP攻擊如何防禦

一、雙綁措施

雙綁是在路由器和終端上都進行IP-MAC繫結的措施，它可以對ARP欺騙的兩邊，偽造閘道器和截獲資料，都具有約束的作用。這是從ARP欺騙原理上進行的防範措施，也是最普遍應用的辦法。它對付最普通的ARP欺騙是有效的。

但雙綁的缺陷在於3點：

1、 在終端上進行的靜態繫結，很容易被升級的ARP攻擊所搗毀，病毒的一個ARP –d命令，就可以使靜態繫結完全失效。

2、 在路由器上做IP-MAC表的繫結工作，費時費力，是一項繁瑣的維護工作。換個網絡卡或更換IP，都需要重新配置路由。對於流動性電腦，這個需要隨時進行的繫結工作，是網路維護的巨大負擔，網管員幾乎無法完成。

3、 雙綁只是讓網路的兩端電腦和路由不接收相關ARP資訊，但是大量的ARP攻擊資料還是能發出，還要在內網傳輸，大幅降低內網傳輸效率，依然會出現問題。

因此，雖然雙綁曾經是ARP防範的基礎措施，但因為防範能力有限，管理太麻煩，現在它的效果越來越有限了。

二、ARP個人防火牆

在一些防毒軟體中加入了ARP個人防火牆的功能，它是通過在終端電腦上對閘道器進行繫結，保證不受網路中假閘道器的影響，從而保護自身資料不被竊取的措施。ARP防火牆使用範圍很廣，有很多人以為有了防火牆，ARP攻擊就不構成威脅了，其實完全不是那麼回事。

ARP個人防火牆也有很大缺陷：

1、它不能保證繫結的閘道器一定是正確的。如果一個網路中已經發生了ARP欺騙，有人在偽造閘道器，那麼，ARP個人防火牆上來就會繫結這個錯誤的閘道器，這是具有極大風險的。即使配置中不預設而發出提示，缺乏網路知識的使用者恐怕也無所適從。

2 、ARP是網路中的問題，ARP既能偽造閘道器，也能截獲資料，是個“雙頭怪”。在個人終端上做ARP防範，而不管閘道器那端如何，這本身就不是一個完整的辦法。ARP個人防火牆起到的作用，就是防止自己的資料不會被盜取，而整個網路的問題，如掉線、卡滯等，ARP個人防火牆是無能為力的。

因此，ARP個人防火牆並沒有提供可靠的保證。最重要的是，它是跟網路穩定無關的措施，它是個人的，不是網路的。

演示工具下載連結：http://download.csdn.net/detail/qq_27118895/9890895