【网络安全笔记】什么是ARP欺骗攻击?怎么防御ARP欺骗攻击?
观前告示此文章旨在分享网络安全知识学习经验无不良引导。本文章演示的恶意程序、木马病毒和各种网络攻击方式仅用于学习目的样本不提供下载请勿用于非法用途。请遵守我国相关法律法规。大家好今天我讲一下ARP欺骗攻击。什么是ARP欺骗攻击ARP欺骗攻击是一种网络攻击技术攻击者通过发送伪造的ARP地址解析协议响应包给目标主机使得目标主机将攻击者的MAC地址错误地映射为目标IP的MAC地址从而实现欺骗目标主机的目的。这种攻击可以导致数据泄露、中间人攻击和拒绝服务攻击对网络安全构成严重威胁。这里先列举ARP欺骗攻击的三种攻击方式1.攻击机假装网关来进行ARP欺骗攻击2.攻击机假装目标机来进行ARP欺骗攻击3.ARP断网攻击在实验环境中我搭建了Win7目标机与Kali Linux攻击机的虚拟网络并确保两者均处于NAT模式下模拟真实内网场景。IP参考 Win7目标机192.168.3.135 Kali攻击机192.168.3.138 网关192.168.3.21. 攻击机伪装网关让目标误认“假门卫”这是最常见的方式。攻击命令为arpspoof-ieth0-t192.168.3.135192.168.3.2此时目标机发送给网关的所有流量如访问百度都会先经过攻击机。而攻击机若开启IP转发echo 1 /proc/sys/net/ipv4/ip_forward则可继续转发给真实网关实现“静默劫持”——用户毫无感知却已身处“透明隧道”之中。好攻击开始我们通过Wireshark里面捕获分析arp数据包可以发现arpspoof确实是有在攻击的。2. 攻击机伪装目标机让网关“认错人”反向操作同样有效arpspoof-ieth0-t192.168.3.2192.168.3.135这次网关会把发给目标机的数据包送到攻击机。配合IP转发攻击机即可截获所有进出目标机的流量包括登录凭证、图片等敏感内容。3. 断网攻击关闭流量转发的“静默杀招”第三种攻击方式是通过ARP欺骗攻击的方式使得目标机断网。其实这种攻击方式的原理和第一种差不多唯一的区别是流量转发是否开启。这次我打算关闭流量转发的功能再重新执行第一种攻击方式。使得攻击机假装网关去攻击目标机。若关闭IP转发echo 0 /proc/sys/net/ipv4/ip_forward再执行第一种攻击则目标机发出的数据包虽被重定向至攻击机但无法被转发出去——结果就是目标机“能发不能收”表现为网页打不开、DNS超时浏览器反复转圈最终显示“无法连接”。原本能开的网页这正是典型的“ARP断网攻击”无需复杂工具仅靠一条命令即可瘫痪单台设备。二、数据劫持实战从URL到密码的全链路捕获攻击本身只是手段真正的威胁在于后续的数据窃取。GET http://www.baidu.com/... GET http://www.360.cn/...浏览百度接着用[driftnet](https://zhida.zhihu.com/search?content_id277737235content_typeArticlematch_order1qdriftnetzhida_sourceentity)抓取HTTP图片——实测这个工具只可以捕获http协议中的图片https是捕获不了的。这里捕获成功了。我们当使用HTTP协议浏览网页时数据包在传输过程中是未加密的明文形式。Driftnet通过网络嗅探技术可以捕获到这些明文数据包并从中提取出图片数据解码后显示。HTTPS是密文传输Driftnet无法直接解析和获取这些加密流量中的图片数据。所以就捕获失败了。最后我模拟注册行为在目标机上填写一个虚构账号qweqw1111qq.com并提交。后台运行的[ettercap](https://zhida.zhihu.com/search?content_id277737235content_typeArticlematch_order1qettercapzhida_sourceentity)精准捕获了POST请求中的明文用户名与密码字段整个过程无需目标机安装任何软件也无需社会工程学诱导——只要在同一局域网且未启用防护攻击即刻生效。三、如何防御五层纵深策略面对如此隐蔽的攻击单一措施远远不够。我总结出以下五级防御体系1.静态ARP绑定在关键设备如服务器、网关上手动绑定IP-MAC对应关系。Windows可通过arp -s命令实现Linux则修改/etc/ethers或使用arpwatch监控异常变更。2.启用ARP防火墙与检测现代交换机普遍支持DAI动态ARP检测可校验ARP包中IP与MAC的合法性终端侧也可部署如ArpGuard等工具实时告警异常ARP响应。3.网络接入控制采用802.1X认证MAC白名单确保只有授权设备能接入网络。结合RADIUS服务器从源头杜绝非法设备入网可能。4.网络隔离与分段利用VLAN划分不同业务区域如办公区、访客区、IoT设备区限制广播域范围使ARP欺骗无法跨区传播。5.提升安全意识最终防线永远是人。不随意点击不明链接、不下载来源不明文件、优先使用HTTPS、定期更新系统补丁——这些看似老生常谈的习惯恰恰是抵御初级攻击的铜墙铁壁。技术没有善恶关键在于使用者的意图。我希望这篇复盘能帮助更多人看清网络世界的“暗流”并在日常工作中多一分警惕、少一分侥幸。毕竟真正的安全始于认知成于实践。