大家来跟贴，arp介绍、arp病毒种类及解决方法

flb_2001

如题

[ 本帖最后由 flb_2001 于 2008-12-10 10:02 编辑 ]

flb_2001

先来个arp的概念
ARP协议是用来提供一台主机通过广播一个ARP请求来获取相同网段中另外一台主机或者网关的MAC的协议。

flb_2001

以相同网段中的两台主机A、B来举例，其ARP协议运行的主要交互机制如下：
      1、如果A需要向B发起通信，A首先会在自己的ARP缓存表项中查看有无B的ARP表项。如果没有，则进行下面的步骤：
      2、A在局域网上广播一个ARP请求，查询B的IP地址所对应的MAC地址;
         3、本局域网上的所有主机都会收到该ARP请求;
         4、所有收到ARP请求的主机都学习A所对应的ARP表项;如果B收到该请求，则发送一个ARP应答给A,告知A自己的MAC地址;
         5、主机A收到B的ARP应答后,会在自己的 ARP缓存中写入主机B的ARP表项.

     如上所述，利用ARP协议，可以实现相同网段内的主机之间正常通信或者通过网关与外网进行通信。但由于ARP协议是基于网络中的所有主机或者网关都为可信任的前提制定。导致在ARP协议中没有认证的机制，从而导致针对ARP协议的欺骗攻击非常容易。

[ 本帖最后由 flb_2001 于 2008-12-10 10:04 编辑 ]

flb_2001

ARP攻击的类型1：网关仿冒
ARP病毒通过发送错误的网关MAC对应关系给其他受害者，导致其他终端用户不能正常访问网关。这种攻击形式在校园网中非常常见。
攻击者发送伪造的网关ARP报文，欺骗同网段内的其它主机。从而网络中主机访问网关的流量，被重定向到一个错误的MAC地址，导致该用户无法正常访问外网。

flb_2001

ARP攻击的类型2：欺骗网关
攻击者发送错误的终端用户的IP＋MAC的对应关系给网关，导致网关无法和合法终端用户正常通信。这种攻击在校园网中也有发生，但概率和“网关仿冒”攻击类型相比，相对较少。
攻击者伪造虚假的ARP报文，欺骗网关相同网段内的某一合法用户的MAC地址已经更新。网关发给该用户的所有数据全部重定向到一个错误的MAC地址，导致该用户无法正常访问外网。

flb_2001

ARP攻击的类型3：欺骗终端用户
这种攻击类型，攻击者发送错误的终端用户/服务器的IP＋MAC的对应关系给受害的终端用户，导致同网段内两个终端用户之间无法正常通信。这种攻击在校园网中也有发生，但概率和“网关仿冒”攻击类型相比，相对较少。
攻击者伪造虚假的ARP报文，欺骗网关相同网段内的某一合法用户的MAC地址已经更新。网关发给该用户的所有数据全部重定向到一个错误的MAC地址，导致该用户无法正常访问外网。

flb_2001

ARP攻击的类型4：ARP泛洪攻击
这种攻击类型，攻击者伪造大量不同ARP报文在同网段内进行广播，导致网关ARP表项被占满，合法用户的ARP表项无法正常学习，导致合法用户无法正常访问外网。主要是一种对局域网资源消耗的攻击手段。这种攻击在校园网中也有发生，但概率和上述三类欺骗性ARP攻击类型相比，相对较少。

seanhhlu

写的真不错

mz198424

ARP协议是“Address Resolution Protocol”（地址解析协议）的缩写。在局域网中，网络中实际传输的是“帧”，帧里面是有目标主机的MAC地址的。在以太网中，一个主机要和另一个主机进行直接通信，必须要知道目标主机的MAC地址。但这个目标MAC地址是如何获得的呢？它就是通过地址解析协议获得的。所谓“地址解析”就是主机在发送帧前将目标IP地址转换成目标MAC地址的过程。ARP协议的基本功能就是通过目标设备的IP地址，查询目标设备的MAC地址，以保证通信的顺利进行。所以说从某种意义上讲ARP协议是工作在更低于IP协议的协议层。这也是为什么ARP欺骗更能够让人在神不知鬼不觉的情况下出现网络故障，他的危害更加隐蔽。

mz198424

ARP协议的基本功能就是通过目标设备的IP地址，查询目标设备的MAC地址，以保证通信的进行。

基于ARP协议的这一工作特性，黑客向对方计算机不断发送有欺诈性质的ARP数据包，数据包内包含有与当前设备重复的Mac地址，使对方在回应报文时，由于简单的地址重复错误而导致不能进行正常的网络通信。一般情况下，受到ARP攻击的计算机会出现两种现象:

1.不断弹出“本机的XXX段硬件地址与网络中的XXX段地址冲突”的对话框。

2.计算机不能正常上网，出现网络中断的症状。

因为这种攻击是利用ARP请求报文进行“欺骗”的，所以防火墙会误以为是正常的请求数据包，不予拦截。因此普通的防火墙很难抵挡这种攻击。