千锋教育网络安全零基础视频教程-黑客攻防/Web安全/渗透测试/代码审计/信息安

ARP欺骗原理

在局域网中，主机通信前必须通过ARP协议把IP地址转换为MAC地址，ARP欺骗就是通过伪造P地址与MAC地址的映射关系实现的一种欺骗攻击。因为局域网内的主机根据MAC地址进行通信，发送方检查其ARP缓存中是否已存储目标IP的MAC地址，否则它会广播发送ARP请求报文，只有目标IP的主机才会响应一个包含其MAC地址的ARP应答报文，发送方收到该应答后，立即更新自身的ARP缓存。攻击者可以发送虚假的ARP请求或应答报文，使得目标主机接收错误的“IP和MAC绑定关系”

ARP预防措施

(1)客户端静态绑定网关的真实MAC地址，一般的命令格式是：

Arp -s 网关IP地址 网关MAC地址。Windows xp中使用

(2)在交换机和路由器上设置端口与MAC地址的静态绑定。

(3)定期检测自身的ARP缓存，检测是否有MAC地址相同的不同表项，即可发现异常。

(4)使用防火墙持续监控ARP缓存，检测异常变化。