經(jīng)常聽到身邊的朋友說，自己電腦的網(wǎng)絡(luò)又被啥啥攻擊了，經(jīng)常有一些不道德的人用ARP欺騙軟件攻擊別人，讓很多人掉線，甚至讓整個網(wǎng)絡(luò)都癱瘓。針對這個問題，我們首先先來了解下它的攻擊原理及欺騙原理，深受其害的朋友們趕緊來看看。

　　一， ARP欺騙的原理如下：

　　假設(shè)這樣一個網(wǎng)絡(luò)，一個Hub接了3臺機器

　　HostA HostB HostC 其中

　　A的地址為：IP：192.168.10.1 MAC: AA-AA-AA-AA-AA-AA

　　B的地址為：IP：192.168.10.2 MAC: BB-BB-BB-BB-BB-BB

　　C的地址為：IP：192.168.10.3 MAC: CC-CC-CC-CC-CC-CC

　　正常情況下 C:\arp -a

　　Interface: 192.168.10.1 on Interface 0x1000003

　　Internet Address Physical Address Type

　　192.168.10.3 CC-CC-CC-CC-CC-CC dynamic

　　現(xiàn)在假設(shè)HostB開始了罪惡的ARP欺騙：

　　B向A發(fā)送一個自己偽造的ARP應(yīng)答，而這個應(yīng)答中的數(shù)據(jù)為發(fā)送方IP地址是192.168.10.3(C的IP地址)，MAC地址是DD-DD-DD-DD-DD-DD(C的MAC地址本來應(yīng)該是CC-CC-CC-CC-CC-CC，這里被偽造了)。當(dāng)A接收到B偽造的ARP應(yīng)答，就會更新本地的ARP緩存(A可不知道被偽造了)。而且A不知道其實是從B發(fā)送過來的，A這里只有192.168.10.3(C的IP地址)和無效的DD-DD-DD-DD-DD-DD mac地址，沒有和犯罪分子B相關(guān)的證據(jù)，哈哈，這樣犯罪分子豈不樂死了。

　　現(xiàn)在A機器的ARP緩存更新了：

　　C:\>arp -a

　　Interface: 192.168.10.1 on Interface 0x1000003

　　Internet Address Physical Address Type

　　192.168.10.3 DD-DD-DD-DD-DD-DD dynamic

　　這可不是小事。局域網(wǎng)的網(wǎng)絡(luò)流通可不是根據(jù)IP地址進行，而是按照MAC地址進行傳輸。現(xiàn)在192.168.10.3的MAC地址在A上被改變成一個本不存在的MAC地址。現(xiàn)在A開始Ping 192.168.10.3，網(wǎng)卡遞交的MAC地址是DD-DD-DD-DD-DD-DD，結(jié)果是什么呢?網(wǎng)絡(luò)不通，A根本不能Ping通C!!

　　所以，局域網(wǎng)中一臺機器，反復(fù)向其他機器，特別是向網(wǎng)關(guān)，發(fā)送這樣無效假冒的ARP應(yīng)答信息包，NND，嚴重的網(wǎng)絡(luò)堵塞就開始了!網(wǎng)吧管理員的噩夢開始了。我的目標和任務(wù)，就是第一時間，抓住他。不過從剛才的表述好像犯罪分子完美的利用了以太網(wǎng)的缺陷，掩蓋了自己的罪行。但其實，以上方法也有留下了蛛絲馬跡。盡管，ARP數(shù)據(jù)包沒有留下HostB的地址，但是，承載這個ARP包的ethernet幀卻包含了HostB的源地址。而且，正常情況下ethernet數(shù)據(jù)幀中，幀頭中的MAC源地址/目標地址應(yīng)該和幀數(shù)據(jù)包中ARP信息配對，這樣的ARP包才算是正確的。如果不正確，肯定是假冒的包，可以提醒!但如果匹配的話，也不一定代表正確，說不定偽造者也考慮到了這一步，而偽造出符合格式要求，但內(nèi)容假冒的ARP數(shù)據(jù)包。不過這樣也沒關(guān)系，只要網(wǎng)關(guān)這里擁有本網(wǎng)段所有MAC地址的網(wǎng)卡數(shù)據(jù)庫，如果和Mac數(shù)據(jù)庫中數(shù)據(jù)不匹配也是假冒的ARP數(shù)據(jù)包。也能提醒犯罪分子動手了