相信很多新手小白對arp欺騙原理和arp欺騙防護的了解處于懵懂狀態(tài)，通過這篇文章的總結(jié)，希望你能有所收獲。如下資料是關(guān)于arp欺騙的內(nèi)容。

創(chuàng)新互聯(lián)建站是一家集網(wǎng)站建設(shè),郾城企業(yè)網(wǎng)站建設(shè),郾城品牌網(wǎng)站建設(shè),網(wǎng)站定制,郾城網(wǎng)站建設(shè)報價,網(wǎng)絡(luò)營銷,網(wǎng)絡(luò)優(yōu)化,郾城網(wǎng)站推廣為一體的創(chuàng)新建站企業(yè)，幫助傳統(tǒng)企業(yè)提升企業(yè)形象加強企業(yè)競爭力?？沙浞譂M足這一群體相比中小企業(yè)更為豐富、高端、多元的互聯(lián)網(wǎng)需求。同時我們時刻保持專業(yè)、時尚、前沿，時刻以成就客戶成長自我，堅持不斷學(xué)習(xí)、思考、沉淀、凈化自己，讓我們?yōu)楦嗟钠髽I(yè)打造出實用型網(wǎng)站。

arp欺騙原理

主機通訊的簡單描述

如上圖，PC1與PC2在同一個網(wǎng)段，PC2要與PC1通訊，由于以太網(wǎng)的通訊機制，PC2需要先知道PC1的mac地址，通過mac地址與PC1通訊。PC2會先通過自己的arp表查找192.168.20.11對應(yīng)的mac，如下：
PC1的arp表：

PC2的arp表：

可以看到PC2沒有192.168.20.11的記錄，這時PC2通過arp廣播向全網(wǎng)詢問誰有ip 192.168.20.11，PC1收到這個廣播后發(fā)現(xiàn)是要請求192.168.20.11的mac，這個ip正是自己的ip，向PC2回應(yīng)一個包告訴PC2 192.168.20.11的mac，由于PC2發(fā)送的arp廣播中已經(jīng)攜帶了PC2的mac，PC1這時會將PC2的arp信息記錄在自己的arp表中，如下是在PC2中pingPC1后的arp表：
PC1的arp表:

PC2的arp表：

此時PC1和PC2就可以通訊了。

arp欺騙是如何做到的

arp這個協(xié)議算個脆弱的協(xié)議了，只要PC2能收到arp應(yīng)答包就會更新自己的arp表，PC2是沒法驗證這個arp應(yīng)答包是否真的來自PC1。此時如果PC3不停的發(fā)送arp應(yīng)答包給PC2，告訴PC2我就是192.168.20.11，PC2就會不停的更新自己的arp表，擁有一個錯誤的arp記錄。

可以在PC3上使用arpspoof命令不停的向PC2發(fā)送arp應(yīng)答包。

arpspoof -i eth2 -t 192.168.20.12 192.168.20.11

此時查看PC2的arp表：

可以看到192.168.20.11對應(yīng)的mac和192.168.20.9的mac相同，08-00-27-37-7b-cc這個mac是PC3的。

這樣當(dāng)PC2向PC1發(fā)送數(shù)據(jù)時就會發(fā)送到PC3。此時在PC2上ping PC1是不通的

之所以ping不通，是因為PC3上就沒有192.168.20.11這個ip，PC2發(fā)送的包是給192.168.20.11的，PC3當(dāng)然就會丟棄了。

在PC3的eth2上添加ip 192.168.20.11

ip add add dev eth2 192.168.20.11/24

再到PC3上ping 192.168.20.11就可以ping通了。

但這樣做，對于一個心懷惡意的人沒什么用。因為PC2是要訪問PC1的資源。PC3通常是提供不了這些的資源的，除非PC3非常清楚PC1的資源，并能成功克隆一份以至PC2不會懷疑。更為廉價的方式是，PC3把PC1到PC2的流量也劫持了。

arpspoof  -i eth2 -t 192.168.20.11 192.168.20.12

執(zhí)行上面的命令前需要用下面的命令取消PC3的eth2上綁定的192.168.20.11

ip add del dev eth2 192.168.20.11/24

這樣PC3把PC1到PC2的流量也支持了。但此進PC2還是不通ping能PC1。這是因為PC1、PC2的流量都到了PC3，但這些流量的目的地都不是PC3，PC3會丟棄?？梢栽赑C3上開啟ip轉(zhuǎn)發(fā)來轉(zhuǎn)發(fā)雙方的流量，PC3開啟ip轉(zhuǎn)發(fā)后，PC3就相當(dāng)于一臺路由了，可以轉(zhuǎn)發(fā)目的地址不是自己的流量。

echo 1 > /proc/sys/net/ipv4/ip_forward

此時PC2和PC1可以正常通訊了，而所有流量都會經(jīng)過PC3，PC3就可以進行抓包之類的進行流量分析了。如果PC2與PC1的通訊包含明文用戶名、密碼，這些用戶名、密碼就會被PC3得知。

arp欺騙防護

查詢網(wǎng)上，arp欺騙的防護沒有太多的辦法，有三種辦法。

• 使用帶DAI功能的交換，此類交換機可以解決arp欺騙
• 使用靜態(tài)arp記錄，arp廣播得到的是arp記錄是動態(tài)的，可以手動設(shè)置靜態(tài)arp記錄
  linux使用：

  arp -s ip mac

  windows使用：

  arp -s ip mac

  這種方式法對主機很多的情況不適用。

• 使用arp防火墻，如xarp（xarp似乎是通過檢測mac的變化識別arp欺騙，筆記在PC2已經(jīng)遭受到arp欺騙后安裝了xarp，xarp并未檢測到arp欺騙，但取消PC3上對PC1、PC2的arp欺騙后，在PC2上pingPC1，xarp檢測到了arp欺騙，且檢測到的是正確的mac，由于可見xarp是通過檢測mac的變化確認mac欺騙的。）

  arp欺騙的檢測

  arp欺騙的隱蔽性還是有點強

• 在linux中下可以使用arping檢測：
  
  可以看到除了第一條，后面的都是PC3的mac，arping在檢測的時候也是不容易發(fā)現(xiàn)。但還是出現(xiàn)了兩個不同的mac，這時可以懷疑是有arp欺騙了。

• 還可以抓包確認：
  
  象上圖這種，有著連續(xù)的同一個arp應(yīng)答包，有理由懷疑被arp欺騙了。
• 一些arp檢測軟件，如：arpwatch
  arpwatch是linux下的一個arp工具，用于監(jiān)控arp的變化，這個工具通過對流量的分析追蹤arp的變化，并發(fā)送郵件。這個工具在使用交換機的網(wǎng)絡(luò)中效果不大，因為使用交換機的網(wǎng)絡(luò)中，交換機端口是不能接收到整個網(wǎng)絡(luò)流量的，因此arpwatch就不能監(jiān)控整個網(wǎng)絡(luò)的arp
• 變化了 ，但這個工具安裝在本機監(jiān)控arp變化是可以的，這樣就起到了arp防火墻的作用。
• 看完上述內(nèi)容，你們對arp欺騙有進一步的了解嗎？如果還想學(xué)到更多技能或想了解更多相關(guān)內(nèi)容，歡迎關(guān)注創(chuàng)新互聯(lián)網(wǎng)站建設(shè)公司行業(yè)資訊頻道，感謝各位的閱讀。

另外有需要云服務(wù)器可以了解下創(chuàng)新互聯(lián)建站www.cdcxhl.com，海內(nèi)外云服務(wù)器15元起步，三天無理由+7*72小時售后在線，公司持有idc許可證，提供“云服務(wù)器、裸金屬服務(wù)器、高防服務(wù)器、香港服務(wù)器、美國服務(wù)器、虛擬主機、免備案服務(wù)器”等云主機租用服務(wù)以及企業(yè)上云的綜合解決方案，具有“安全穩(wěn)定、簡單易用、服務(wù)可用性高、性價比高”等特點與優(yōu)勢，專為企業(yè)上云打造定制，能夠滿足用戶豐富、多元化的應(yīng)用場景需求。

文章題目：arp欺騙的原理是什么？arp欺騙是如何做到的？-創(chuàng)新互聯(lián)
新聞來源：http://weahome.cn/article/dcjege.html