0x01 ARP协议概述

ARP协议又称地址解析协议，是网络层协议，负责将某个IP地址解析成对应的MAC地址。

一台主机和另一台主机通信，要知道目标的IP地址，但是在局域网中传输数据的网卡却不能直接识别IP地址，所以用ARP解析协议将IP地址解析成MAC地址。ARP协议的基本功能就是通过目标设备的IP地址，来查询目标设备的mac地址。

在局域网的任意一台主机中，都有一个ARP缓存表，里面保存本机已知的此局域网中各主机和路由器的IP地址和MAC地址的对照关系。

0x02 ARP协议缺陷

ARP协议是建立在信任局域网内所有节点的基础上的，他的效率很高。但是不安全。它是无状态的协议。他不会检查自己是否发过请求包，也不知道自己是否发过请求包。他也不管是否是合法的应答，只要收到目标mac地址是自己的ARP reply或者ARP广播包（包括ARP reply和ARP request），都会接受并缓存。

0x03 ARP攻击原理

ARP欺骗攻击建立在局域网主机间相互信任的基础上的。当A发广播询问：我想知道IP是192.168.0.3的硬件地址是多少？此时B当然会回话：我是IP192.168.0.3我的硬件地址是mac-b，可是此时IP地址是192.168.0.4的C也非法回了：我是IP192.168.0.3,我的硬件地址是mac-c。而且是大量的。所以A就会误信192.168.0.3的硬件地址是mac-c，而且动态更新缓存表，这样主机C就劫持了主机A发送给主机B的数据，这就是ARP欺骗的过程。

假如C直接冒充网关，此时主机C会不停的发送ARP欺骗广播，大声说：我的ＩＰ是192.168.0.1，我的硬件地址是mac-c，此时局域网内所有主机都被欺骗，更改自己的缓存表，此时Ｃ将会监听到整个局域网发送给互联网的数据报。

0x04 ARP病毒攻击症状

 通常表现：

（1）打开网页速度非常慢，甚至打不开

（2）提示IP地址冲突

（3）甚至导致校园网瘫痪断网

（4）一般会绑定木马病毒，窃取用户账号密码

0x05 ARP病毒攻击形式

1、从协议内部分析

-假冒ARP reply包（单波或广播），向单台主机或多台主机发送虚假的IP/MAC地址

-假冒ARP request包（单播或广播），实际上是单播或广播虚假的IP、MAC映射。

-假冒中间人，启用包转发向两端主机发送假冒的ARP reply，由于ARP缓存的老化机制，有时还需要做周期性连续性欺骗。

2、从影响网络连接通畅的角度看

-对路由ARP表的欺骗

   ARP病毒截获网关数据，让路由器获得错误的内网MAC地址，导致路由器把数据发送给错误的mac，是内网内的主机断网

-伪造内网网关

   ARP病毒通过冒充网关，是内网计算机发送的数据无法到达真正的路由器网关，导致内网计算机断网