arp欺骗（理论）

ARP（地址解析协议）在IPv4和以太网的广泛应用，其主要用作将IP地址翻译为以太网的MAC地址。

一、ARP通讯协议过程

局域网的通信不是根据IP地址进行，计算机是根据mac地址来识别一台机器。

每个计算机中都有路由表可在cmd输入arp-a进行查看，区域网内主机A要向主机B发送报文，会查询本地的ARP缓存表，找到B的IP地址对应的MAC地址后，就会进行数据传输。如果未找到，则A广播一个ARP请求报文（携带主机B的IP地址）,网上所有主机包括B都收到ARP请求，但只有主机B识别自己的IP地址，于是向A主机发回一个ARP响应报文。其中就包含有B的MAC地址，A接收到B的应答后，就会更新本地的ARP缓存。

ARP 欺骗非为双向欺骗和单向欺骗一下详细说明:

1.单向欺骗

A的地址为：IP：10.0.0.1 MAC: AA-AA-AA-AA-AA-AA

B的地址为：IP：10.0.0.2 MAC: BB-BB-BB-BB-BB-BB

C的地址为：IP：10.0.0.3 MAC: CC-CC-CC-CC-CC-CC

A和C之间进行通讯.但是此时B向A发送一个自己伪造的ARP应答，而这个应答中的数据为发送方IP地址是10.0.0.3C的IP地址，MAC地址是BB-BB-BB-BB-BB-BBC的MAC地址本来应该是CC-CC-CC-CC-CC-CC，这里被伪造了。当A接收到B伪造的ARP应答，就会更新本地的ARP缓存（A被欺骗了），这时B就伪装成C了。同时，B同样向C发送一个ARP应答，应答包中发送方IP地址四10.0.0.1A的IP地址，MAC地址是BB-BB-BB-BB-BB-BBA的MAC地址本来应该是AA-AA-AA-AA-AA-AA，当C收到B伪造的ARP应答，也会更新本地ARP缓存（C也被欺骗了），这时B就伪装成了A。这样主机A和C都被主机B欺骗，A和C之间通讯的数据都经过了B。主机B完全可以知道他们之间说的什么。这就是典型的ARP欺骗过程。

掐断A 与 c的通讯，实现原理：b 向A 发送一条ARP 数据包，内容为：c的地址是00:00:00:00:00:00 （一个错误的地址），那么A 此后向c发的数据包都会发到00，而这个地址是错误的，所以通讯中断了，但是要注意了，这里只是A --> c 中断了，c --> A 没有中断，所以这个叫单向欺骗。

掐断c与A 的通讯，实现原理和第一条一样，如果和第一条一起发，那么A 和c 的通讯就完全中断了，即：A <-- ×--> c.

嗅探A 与c 的通讯，实现原理：b 向A 发送一条ARP 数据包，内容为：c的地址是AA:BB:CC:DD:EE:FF （b自己的地址），也就是说，b 对 A 说：我才是c，于是A 把向c发送的数据都发给b 了，b得到数据后就可以为所欲为了，可以直接丢弃，那么通讯中断，也可以再次转发给c，那么又形成回路，B当了个中间人，监视A 和c 的通讯.此时你就可以用CAIN等任何抓包工具进行本地嗅探了.

2.ARP双向欺骗原理

A要跟C正常通讯，B向A说我是才C。B向C说我才是A，那么这样的情况下把A跟C的ARP缓存表全部修改了。以后通讯过程就是 A把数据发送给B,B在发送给C，C把数据发送B，B在把数据给A。

攻击主机发送ARP应答包给被攻击主机和网关，它们分别修改其ARP缓存表为, 修改的全是攻击主机的MAC地址，这样它们之间数据都被攻击主机截获。

三、双向欺骗与单向欺骗的区别

单向欺骗:是指欺骗网关，分别有三个机器 A(网关) B(server) C(server) 。A要跟C正常通讯。B给A说我才是C，那么A就把数据就给C了，此时A就把原本给C的数据给了B了，A修改了本地的缓存表,但是C跟A的通讯还是正常的。只是A跟C的通讯不正常。

双向欺骗:是欺骗网关跟被攻击的两个机器,A(网关) B(server) C(server),A要跟C正常通讯.B对A说我是C，B对C说我是A,那么这样的情况下A跟C的ARP缓存表全部修改了,发送的数据全部发送到B那里去了。

四、防护办法

最常用的方法就是做双绑定， 本地跟路由都做了mac地址绑定