一.介紹
ARP攻擊的局限性 ARP攻擊僅能在以太網(局域網如:機房、內網、公司網絡等)進行。 無法對外網(互聯網、非本區域內的局域網)進行攻擊。
ARP攻擊就是通過偽造IP地址和MAC地址實現ARP欺騙,能夠在網絡中產生大量的ARP通信量使網絡阻塞,攻擊者只要持續不斷的發出偽造的ARP響應包就能更改目標主機ARP緩存中的IP-MAC條目,造成網絡中斷或中間人攻擊。
ARP攻擊主要是存在於局域網網絡中,局域網中若有一台計算機感染ARP木馬,則感染該ARP木馬的系統將會試圖通過“ARP欺騙”手段截獲所在網絡內其它計算機的通信信息,並因此造成網內其它計算機的通信故障。
攻擊者向電腦A發送一個偽造的ARP響應,告訴電腦A:電腦B的IP地址192.168.0.2對應的MAC地址是00-aa-00-62-c6-03,電腦A信以為真,將這個對應關系寫入自己的ARP緩存表中,以后發送數據時,將本應該發往電腦B的數據發送給了攻擊者。同樣的,攻擊者向電腦B也發送一個偽造的ARP響應,告訴電腦B:電腦A的IP地址192.168.0.1對應的MAC地址是00-aa-00-62-c6-03,電腦B也會將數據發送給攻擊者。
至此攻擊者就控制了電腦A和電腦B之間的流量,他可以選擇被動地監測流量,獲取密碼和其他涉密信息,也可以偽造數據,改變電腦A和電腦B之間的通信內容。
二.解決辦法
ARP靜態綁定 windows:
# 查看各網絡對應的Idx,記錄當前網絡接入方式的Idx序號 X
netsh i i show in
# 做靜態綁定
# e.g. netsh -c "i i" add neighbors 1 "192.168.1.1" "FF-FF-FF-FF-FF-03"
netsh -c "i i" add neighbors [X:此處替換為具體的數值] "網關IP" "網關MAC地址"
Linux和macOS:
# e.g. sudo arp -s 192.168.1.1 FF:FF:FF:FF:FF:03
sudo arp -s "網關" "網關MAC"