ARP欺骗

ARP欺骗 （正體）

ARP欺骗（ARP spoofing），又称ARP下毒（ARP poisoning）或ARP攻击，是针对以太网路地址解析协议（ARP）的一种攻击技术。此种攻击可让攻击者取得局域网路上的资料封包甚至可篡改封包，且可让网络上特定电脑或所有电脑无法正常连线。最早探讨ARP欺骗的文章是由Yuri Volobue所写的《ARP与ICMP转向游戏》（ARP and ICMP redirection games）^[1]。

运作机制

ARP欺骗的运作原理是由攻击者发送假的ARP封包到网络上，尤其是送到闸道器上。其目的是要让送至特定的IP位址的流量被错误送到攻击者所取代的地方。因此攻击者可将这些流量另行转送到真正的闸道（被动式封包嗅探，passive sniffing）或是篡改后再转送（中间人攻击，man-in-the-middle attack）。攻击者亦可将ARP封包导到不存在的MAC位址以达到阻断服务攻击的效果，例如netcut软件。

例如某一网络闸道的IP位址是192.168.0.254，其MAC位址为00-11-22-33-44-55，网络上的电脑内ARP表会有这一笔ARP记录。攻击者发动攻击时，会大量发出已将192.168.0.254的MAC位址篡改为00-55-44-33-22-11的ARP封包。那么网络上的电脑若将此伪造的ARP写入自身的ARP表后，电脑若要透过网络闸道连到其他电脑时，封包将被导到00-55-44-33-22-11这个MAC位址，因此攻击者可从此MAC位址截收到封包，可篡改后再送回真正的闸道，或是什么也不做，让网络无法连线。

Ethernet封包，ARP欺骗会篡改封包标头中的Source MAC位址（绿色段）以欺骗网络上的电脑及设备

防制方法

最理想的防制方法是网络内的每电脑的ARP一律改用静态的方式，不过这在大型的网络是不可行的，因为需要经常更新每电脑的ARP表。

另外一种方法，例如DHCP snooping，网络设备可借由DHCP保留网络上各电脑的MAC位址，在伪造的ARP封包发出时即可侦测到。此方式已在一些厂牌的网络设备产品所支援。

有一些软件可监听网络上的ARP回应，若侦测出有不正常变动时可发送电子邮件通知管理者。例如UNIX平台的Arpwatch以及Windows上的XArp v2^[2]或一些网络设备的Dynamic ARP inspection功能。

正当用途

ARP欺骗亦有正当用途。其一是在一个需要登入的网络中，让未登入的电脑将其浏览网页强制转向到登入页面，以便登入后才可使用网络。另外有些设有备援机制的网络设备或服务器，亦需要利用ARP欺骗以在设备出现故障时将讯务导到备用的设备上。

参考资料

• 2007 技术通报 - 了解ARP病毒

外部链接

• （正体中文）资安论坛
• （英文）Quick Detect ARP Poisoning/Spoofing Live Demo
• （英文）NetCut - Admin Network with ARP protocol
• （英文）Introduction to APR (Arp Poison Routing) by MAO
• （英文）ARPDefender - Hardware ARP Spoofing detection appliance
• （英文）GRC's Arp Poisoning Explanation
• （英文）XArp2 ARP spoofing detection tool performing packet inspection using active and passive methods
• （英文）AntiARP - Professional defence ARP spoof/poison/attack
• （英文）ARP Spoofing How to

Why are we here?
All text is available under the terms of the GNU Free Documentation License
This page is cache of Wikipedia. History