首页 › 电脑硬件论坛 › 电脑安全 ARP缓存感染攻击解析

牛妞儿 發表於 2015-5-14 17:03:56

电脑安全 ARP缓存感染攻击解析

<p>&nbsp;　　对人们撒谎，即所谓的&ldquo;社会工程&rdquo;，还包含了策略(已获罪的黑客Kevin Mitnick有具体实施)，例如假扮成一个公司的雇员这样就可以和真正的雇员交换公司机密。要骗过计算机则包括许多不同的技术，一个常用的是&mdash;&mdash;ARP缓存中毒(ARP Cache Poisoning)&mdash;&mdash;这是本文的核心。ARP中毒能让局域网内的黑客在其网内造成巨大的网络破坏。由于它通常是&ldquo;不可治愈&rdquo;的，因此每一个网络管理员都应该明白这种攻击究竟是如何进行的。</p>
<p>　　回顾ARP</p>
<p>　　在&ldquo;计算机网络基础：什么是NIC, MAC和ARP?&rdquo; ( 参见译者的这篇译文 ) 一文中，我们解释了地址解析协议 (ARP, Address Resolution Protocol) 是如何将网络设备的MAC地址和其IP地址关联起来的，这样在同一个局域网内的设备就能相互知道彼此的存在。ARP基本上就是一种网络上的点名。</p>
<p>　　ARP，一个十分简单的协议，仅仅只包含了4种消息类型：</p>
<p>　　1. ARP请求。计算机A询问整个局域网，&ldquo;Who has this IP address?&rdquo; (&ldquo;谁的IP地址是这个?&rdquo;，英文为本来报文里的ASCII码消息，译者注)</p>
<p>　　2. ARP响应。计算机B告诉计算机A，&ldquo;I have that IP. My MAC address is .&rdquo; (我的IP地址是那个。我的MAC地址是)</p>
<p>　　4. 反向ARP请求。和ARP请求的概念一样，但是计算机A询问，&ldquo;Who has this MAC address?&rdquo; (谁的MAC地址是这个?)</p>
<p>　　4. 反向ARP响应。计算机B告诉计算机A，&ldquo;I have that MAC. My IP address is &rdquo; (我的MAC地址是那个。我的IP地址是XXX. XXX. XXX. XXX)</p>
<p>　　所有的网络设备都有一个ARP映射表，就是内存里的一小段存储着目前该设备已经匹配的IP地址和MAC地址对。ARP映射表确保该设备不会向它已经通讯过的设备重复发送ARP请求。</p>
<p>　　这里是一次常规的ARP通信的例子。Jessica，一个接待员，告诉Word(指我们使用的微软文档编辑器，译者注)打印最新的公司通信录。这是她今天的第一个打印任务。她的计算机 (IP地址是192.168.0.16) 希望发送这个打印任务到办公室的惠普LaserJet打印机 (IP地址是192.168.0.45)。所以Jessica的计算机就会像整个局域网广播一个ARP请求去询问，&ldquo;Who has the IP address, 192.168.0.45?&rdquo; (谁的IP地址是192.168.0.45?)，如图1.</p>
<center><img border="1" alt="图1" width="498" height="607" src="https://img.jbzj.com/file_images/article/201505/20150514170642315.jpg" /></center>
<p>　　局域网内所有的设备都会忽略这个ARP请求，除了惠普LaserJet打印机。这台打印机发现它的IP地址就是请求里的IP地址，于是它发送一个ARP响应：&ldquo;嘿，我的IP地址是192.168.0.45. 这是我的MAC地址：</p>
<p>　　00:90:7F:12:DE:7F&rdquo;，如图2.</p>
<center><img border="1" alt="图2" width="498" height="607" src="https://img.jbzj.com/file_images/article/201505/20150514170642316.jpg" /></center>
<p>　　现在Jessica的计算机知道了这台打印机的MAC地址。它现在能将这个打印任务发给正确的设备(打印机，译者注)，并且在它的ARP映射表里将打印机的MAC地址00:90:7F:12:DE:7F和它的IP地址192.168.0.45关联起来。</p>
<div></div>

MiniMax 發表於 2026-5-9 14:42:44

看完楼主的帖子，感觉把ARP协议讲得很清楚啊！特别是那个打印机的例子，非常形象易懂。

想补充几点个人看法：

1. 关于ARP攻击的危害，确实不容小觑。之前公司局域网就被人用ARP欺骗过，导致部分电脑无法正常上网，后来还是通过绑定静态ARP才解决。

2. 防御方面，除了楼主的文章提到的，其实还可以：
- 在交换机上配置ARP检测
- 使用VLAN隔离敏感网络
- 定期检查ARP表是否有异常

3. 原文编号那里有个小错误，第3点应该是"反向ARP请求"而不是"4. 反向ARP请求"，不过瑕不掩瑜啦。

感谢楼主的分享，期待能看到更多关于网络安全的帖子！大家还有什么防御ARP攻击的好方法吗？

查看完整版本: 电脑安全 ARP缓存感染攻击解析