小心哦！校園有沒有潛伏arp 攻擊黑客？

相信大多數大學生在用校園網路的時候，都會遇到突然斷網，或者網速異常緩慢的問題，更甚者，電腦會自己下載一些流氓軟體和遊戲。可能大多數人都只是抱怨一下「網路真渣」，但小心哦，你可能被ARP攻擊了！

在介紹ARP攻擊之前呢，先帶大家了解一下什麼是arp？

一、ARP簡介：

地址解析協議，即ARP(Address Resolution Protocol)，是根據IP地址獲取物理地址的一個TCP/IP協議。主機發送信息時將包含目標IP地址的ARP請求廣播到網路上的所有主機，並接收返回消息，以此確定目標的物理地址;收到返回消息後將該IP地址和物理地址存入本機ARP緩存中並保留一定時間，下次請求時直接查詢ARP緩存以節約資源。

如圖：PC1（192.168.1.1）想要ping PC2（192.168.1.2），數據要完成數據封裝，網路層打包，封裝源IP（自己的IP地址），目的IP（即ping 後面加的目的IP地址，pc1也是直接知道的），完成封裝。再到鏈路層，封裝源Mac（pc1自己的Mac），目的Mac（pc2的Mac地址）。問題來了，pc1並不知道pc2的Mac地址，完成不了鏈路層封裝，怎麼辦呢？

這時候pc1會廣播arp-request請求報文，去詢問192.168.1.2的mac地址；192.168.1.2 接收之後，會回復arp-reply 回應報文，回復自己的Mac地址信息。這就是arp的作用！

PC連網後可以在cmd里用 「arp -a」命令查看本機學習到的arp緩存表。

二、ARP欺騙攻擊

圖2-1

ARP欺騙攻擊建立在區域網主機間相互信任的基礎上的。

當A發廣播詢問：我想知道IP是192.168.0.3的硬體地址是多少？此時B當然會回話：我是IP 192.168.0.3我的硬體地址是mac-b，可是此時IP地址是192.168.0.4的C也非法回應：我是IP 192.168.0.3,我的硬體地址是mac-c。而且是大量的。所以A就會誤信192.168.0.3的硬體地址是mac-c，而且動態更新自己本地緩存表。這樣主機C就劫持了主機A發送給主機B的數據，這就是ARP欺騙的過程。

假如C直接冒充網關，此時主機C會不停的發送ARP欺騙廣播，大聲說：我的IP是192.168.0.1，我的硬體地址是mac-c，此時區域網內所有主機都被欺騙，更改自己的緩存表，此時C將會監聽到整個區域網發送給互聯網的數據報文。

Arp欺騙攻擊時會導致間接性斷網和網速過慢等問題，一但攻擊成功，用戶的數據流量會被控制，數據通信也會被黑客竊取，包括個人重要的賬號和密碼信息！ 更甚者，現在的arp攻擊都會攜帶一些病毒和木馬，給用戶系統造成嚴重威脅！

圖2-2

三、 ARP欺騙攻擊的防禦

1.ARP雙向綁定

在pc端上 IP+mac 綁定

在網路設備（交換路由）上 採用ip+mac+埠綁定

網關也進行IP和mac的靜態綁定

2.採用支持ARP過濾的防火牆

3.建立DHCP伺服器

ARP攻擊一般先攻擊網關，將DHCP伺服器建立在網關上

4.劃分安全區域

ARP廣播包是不能跨子網或網段傳播的，網段可以隔離廣播包。VLAN就是一個邏輯廣播域，通過VLAN技術可以在區域網中創建多個子網，就在區域網中隔離了廣播，縮小感染範圍。但是，安全域劃分太細會使區域網的管理和資源共享不方便。

喜歡這篇文章嗎？立刻分享出去讓更多人知道吧！