攻击科普：ARP攻击

目录

• 一.介绍
• 二.解决办法

一.介绍

ARP攻击的局限性 ARP攻击仅能在以太网（局域网如：机房、内网、公司网络等）进行。 无法对外网（互联网、非本区域内的局域网）进行攻击。

ARP攻击就是通过伪造IP地址和MAC地址实现ARP欺骗，能够在网络中产生大量的ARP通信量使网络阻塞，攻击者只要持续不断的发出伪造的ARP响应包就能更改目标主机ARP缓存中的IP-MAC条目，造成网络中断或中间人攻击。

ARP攻击主要是存在于局域网网络中，局域网中若有一台计算机感染ARP木马，则感染该ARP木马的系统将会试图通过“ARP欺骗”手段截获所在网络内其它计算机的通信信息，并因此造成网内其它计算机的通信故障。

攻击者向电脑A发送一个伪造的ARP响应，告诉电脑A：电脑B的IP地址192.168.0.2对应的MAC地址是00-aa-00-62-c6-03，电脑A信以为真，将这个对应关系写入自己的ARP缓存表中，以后发送数据时，将本应该发往电脑B的数据发送给了攻击者。同样的，攻击者向电脑B也发送一个伪造的ARP响应，告诉电脑B：电脑A的IP地址192.168.0.1对应的MAC地址是00-aa-00-62-c6-03，电脑B也会将数据发送给攻击者。

至此攻击者就控制了电脑A和电脑B之间的流量，他可以选择被动地监测流量，获取密码和其他涉密信息，也可以伪造数据，改变电脑A和电脑B之间的通信内容。

二.解决办法

ARP静态绑定 windows：

# 查看各网络对应的Idx，记录当前网络接入方式的Idx序号 X
netsh i i show in
# 做静态绑定
# e.g. netsh -c "i i" add neighbors 1 "192.168.1.1" "FF-FF-FF-FF-FF-03"
netsh -c "i i" add neighbors [X:此处替换为具体的数值] "网关IP" "网关MAC地址"

Linux和macOS：

# e.g. sudo arp -s 192.168.1.1 FF:FF:FF:FF:FF:03
sudo arp -s "网关" "网关MAC"