ARP工作过程、ARP欺骗的原理和现象、如何防范ARP欺骗

地址解析协议（Address Resolution Protocol，ARP）是在仅知道主机的IP地址时确定其物理地址的一种协议。
下面假设在一个局域网内，主机A要向主机B发送IP数据报。

ARP协议工作过程

A先在其ARP高速缓存中查看有无B的IP地址。如有，就在ARP高速缓存中查出其对应的硬件地址，再把这个硬件地址写入MAC帧，然后通过局域网把该MAC帧发往此硬件地址。如果查不到B的IP的项目，则进入第（2）步。
A的ARP进程在本局域网上广播发送一个ARP请求分组，主要内容是A自己的IP地址、MAC地址，询问的IP地址（也就是B的IP地址）。
在本局域网上的所有主机运行的ARP进程都收到此ARP请求分组。
主机B的IP地址与ARP请求分组中要查询的IP地址一致，就收下这个ARP请求分组，并向A单播发送ARP响应分组（其中写入了B自己的硬件地址），同时将A的地址映射写入自己的ARP高速缓存中。由于其余的所有主机IP地址都与ARP请求分组要查询的IP地址不一致，因此都不理睬这个ARP请求分组。
A收到B的ARP响应分组后，就在其ARP高速缓存中写入B的IP地址到硬件地址的映射。
至此，A得到了从B的IP地址到其MAC地址的映射。当这个映射项目在高速缓存中保存超过生存时间，将被从高速缓存中删除。

ARP欺骗的原理与现象

ARP欺骗的核心思想就是向目标主机发送伪造的应 ARP答，并使目标主机接收应答中伪造的IP地址与MAC地址之间的映射对，以此更新目标主机ARP缓存。下面就在理论上说明实施ARP欺骗的过程(见图： 1) S代表源主机，也就是将要被欺骗的目标主机； D代表目的主机，源主机本来是向它发送数据； A代表攻击者，进行ARP欺骗。

当S想要向D发送数据时，假设目前他的ARP缓存中没有关于D的记录，那么他首先在局域网中广播包含D的IP地址的ARP请求。但此时A具有与D相同的IP地址，于是分别来自A与D的ARP响应报文将相继到达S。如果A控制自己的ARP响应晚于D的ARP响应到达S， S就会将如下伪造映射：

D的IP地址 → A的MAC地址

保存在自己的ARP缓存中。在这个记录过期之前，凡是S 发送给D的数据实际上都将发送给A。而S却毫不察觉。或者A在上述过程中，利用其它方法直接抑制来自D的ARP应答将是一个更有效的方法而不用依赖于不同操作系统的处理机制。进一步， A可不依赖于上述过程，直接在底层伪造ARP响应报文来达到同样的目的。

从影响网络连接通畅的方式来看，ARP欺骗分为二种，一种是对路由器ARP表的欺骗；另一种是对内网PC的网关欺骗。

一般来说，ARP欺骗攻击的后果非常严重，大多数情况下会造成大面积掉线；如果是被中间人攻击，截取Internet与这个目标主机的之间的全部通信，则会导致信息泄露，在主机看来访问外部服务的响应变慢；或者对于服务器而言，上层应用忙于处理这种异常而无法响应外来请求。

ARP欺骗的防范

1.主机级被动检测

当系统接收到来自局域网上的ARP请求时，系统检查该请求发送端的IP地址是否与自己的IP地址相同。如果相同，则说明该网络上另有一台机器与自己具有相同的IP地址。

2.主机级主动检测

主机定期向所在局域网发送查询自己IP地址的ARP请求报文。如果能够收到另一ARP响应报文，则说明该网络上另
有一台机器与自己具有相同的IP地址。

3.服务器级检测

当服务器收到ARP响应时，为了证实它的真实性，根据反向地址解析协议(RARP)就用从响应报文中给出的地 MAC
址再生成一个RARP请求，它询问这样一个问题：“如果你是这个MAC地址的拥有者，请回答你的IP地址”。这样就会查询到这个MAC地址对应的IP地址，比较这两个IP地址，如果不同，则说明对方伪造了ARP响应报文。

4.网络级检测

配置主机定期向中心管理主机报告其ARP缓存的内容。这样中心管理主机上的程序就会查找出两台主机报告信息的不一致，以及同一台主机前后报告内容的变化。这些情况反映了潜在的安全问题。或者利用网络嗅探工具连续监测网络内主机硬件地址与IP地址对应关系的变化。