[转帖]网吧ARP欺骗原理及危害

网吧是最常见的局域网，相信很多读者都曾经到网吧上网冲浪。不过在使用过程中是否出现过别人可以正常上网而自己却无法访问任何页面和网络信息的情况呢？虽然造成这种现象的情况有很多，但是目前最常见的就是arp欺骗了，很多黑客工具甚至是病毒都是通过arp欺骗来实现对主机进行攻击和阻止本机访问任何网络信息的目的，今天笔者就为各位介绍arp欺骗的原理及危害，让我们对这个攻击方式有一个清晰的了解。


一，什么是arp协议？


arp协议是“address resolution protocol”（地址解析协议）的缩写。在局域网中，网络中实际传输的是“帧”，帧里面是有目标主机的mac地址的。在以太网中，一个主机要和另一个主机进行直接通信，必须要知道目标主机的mac地址。但这个目标mac地址是如何获得的呢？它就是通过地址解析协议获得的。所谓“地址解析”就是主机在发送帧前将目标ip地址转换成目标mac地址的过程。arp协议的基本功能就是通过目标设备的ip地址，查询目标设备的mac地址，以保证通信的顺利进行。所以说从某种意义上讲arp协议是工作在更低于ip协议的协议层。这也是为什么arp欺骗更能够让人在神不知鬼不觉的情况下出现网络故障，他的危害更加隐蔽。


二，arp欺骗的原理：


首先我们可以肯定一点的就是发送arp欺骗包是通过一个恶毒的程序自动发送的，正常的tcp/ip网络是不会有这样的错误包发送的，而人工发送又比较麻烦。也就是说当黑客没有运行这个恶毒程序的话，网络上通信应该是一切正常的，保留在各个连接网络计算机上的arp缓存表也应该是正确的，只有程序启动开始发送错误arp信息以及arp欺骗包时才会让某些计算机访问网络出现问题。接下来我们来阐述下arp欺骗的原理。


第一步：假设这样一个网络，一个hub或交换机连接了3台机器，依次是计算机a，b，c。


a的地址为：ip：192.168.1.1 mac: aa-aa-aa-aa-aa-aa b的地址为：ip：192.168.1.2 mac: bb-bb-bb-bb-bb-bb c的地址为：ip：192.168.1.3 mac: cc-cc-cc-cc-cc-cc


第二步：正常情况下在a计算机上运行arp -a查询arp缓存表应该出现如下信息。


interface: 192.168.1.1 on interface 0x1000003 internet address physical address type 192.168.1.3 cc-cc-cc-cc-cc-cc dynamic


第三步：在计算机b上运行arp欺骗程序，来发送arp欺骗包。


b向a发送一个自己伪造的arp应答，而这个应答中的数据为发送方ip地址是192.168.10.3（c的ip地址），mac地址是dd-dd-dd-dd-dd-dd（c的mac地址本来应该是cc-cc-cc-cc-cc-cc，这里被伪造了）。当a接收到b伪造的arp应答，就会更新本地的arp缓存（a可不知道被伪造了）。而且a不知道其实是从b发送过来的，a这里只有192.168.10.3（c的ip地址）和无效的dd-dd-dd-dd-dd-dd mac地址。


第四步：欺骗完毕我们在a计算机上运行arp -a来查询arp缓存信息。你会发现原来正确的信息现在已经出现了错误。


interface: 192.168.1.1 on interface 0x1000003 internet address physical address type 192.168.1.3 dd-dd-dd-dd-dd-dd dynamic


从上面的介绍我们可以清楚的明白原来网络中传输数据包最后都是要根据mac地址信息的，也就是说虽然我们日常通讯都是通过ip地址，但是最后还是需要通过arp协议进行地址转换，将ip地址变为mac地址。而上面例子中在计算机a上的关于计算机c的mac地址已经错误了，所以即使以后从a计算机访问c计算机这个192.168.1.3这个地址也会被arp协议错误的解析成mac地址为dd-dd-dd-dd-dd-dd的。


问题也会随着arp欺骗包针对网关而变本加厉，当局域网中一台机器，反复向其他机器，特别是向网关，发送这样无效假冒的arp应答信息包时，严重的网络堵塞就会开始。由于网关mac地址错误，所以从网络中计算机发来的数据无法正常发到网关，自然无法正常上网。这就造成了无法访问外网的问题，另外由于很多时候网关还控制着我们的局域网lan上网，所以这时我们的lan访问也就出现问题了。


三，arp欺骗的危害：


前面也提到了arp欺骗可以造成内部网络的混乱，让某些被欺骗的计算机无法正常访问内外网，让网关无法和客户端正常通信。实际上他的危害还不仅仅如此，一般来说ip地址的冲突我们可以通过多种方法和手段来避免，而arp协议工作在更低层，隐蔽性更高。系统并不会判断arp缓存的正确与否，无法像ip地址冲突那样给出提示。而且很多黑客工具例如网络剪刀手等，可以随时发送arp欺骗数据包和arp恢复数据包，这样就可以实现在一台普通计算机上通过发送arp数据包的方法来控制网络中任何一台计算机的上网与否，甚至还可以直接对网关进行攻击，让所有连接网络的计算机都无法正常上网。这点在以前是不可能的，因为普通计算机没有管理权限来控制网关，而现在却成为可能，所以说arp欺骗的危害是巨大的，而且非常难对付，非法用户和恶意用户可以随时发送arp欺骗和恢复数据包，这样就增加了网络管理员查找真凶的难度。那么难道就没有办法来阻止arp欺骗问题的发生吗？下篇文章笔者将就这些内容进行讲解，让我们真真正正的和arp欺骗说再见。