现在ARP不只是的简写，还成了掉线的代名词。很多网吧和企业网络不稳，无故掉线，经济蒙受了很大的损失。根据情况可以看出这是一种存在于网络中的一种普遍问题。出现此类问题的主要原因就是遭受了ARP攻击。由于其变种版本之多，传播速度之快，很多技术人员和企业对其束手无策。下面就来给大家从原理到应用谈一谈这方面的话题。希望能够帮大家解决此类问题，净化网络环境。

    ARP 欺骗攻击原理分析

　　在局域网中，通过ARP来完成IP地址转换为第二层物理地址，实现局域网机器的通信。ARP对网络具有重要的意义。这是建立在相互信任的基础上。如果通过伪造IP地址和MAC地址实现ARP欺骗，将在网络中产生大量的ARP通信量使网络阻塞、掉线、重定向、嗅探攻击。

　　我们知道每个主机都用一个ARP高速缓存，存放最近IP地址到MAC硬件地址之间的映射记录。高速缓存中的每一条记录的生存时间一般为60秒，起始时间从被创建时开始算起。默认情况下，ARP从缓存中读取IP-MAC条目，缓存中的IP-MAC条目是根据ARP响应包动态变化的。因此，只要网络上有ARP响应包发送到本机，即会更新ARP高速缓存中的IP-MAC条目。如：X向Y发送一个自己伪造的ARP应答，而这个应答中的数据发送方IP地址是192.168.1.3（Z的IP地址），MAC地址是DD-DD-DD-DD-DD-DD（Z的真实MAC地址却是CC-CC-CC-CC-CC-CC，这里被伪造了）。当Y接收到X伪造的ARP应答，就会更新本地的ARP缓存（Y可不知道被伪造了）。那么如果伪造成网关呢?

　　Switch上同样维护着一个动态的MAC缓存，它一般是这样，首先，机内部有一个对应的列表，机的端口对应MAC地址表Port n <-> Mac记录着每一个端口下面存在那些MAC地址，这个表开始是空的，交换机从来往数据帧中学习。因为MAC-PORT缓存表是动态更新的，那么让整个 Switch的端口表都改变，对Switch进行MAC地址欺骗的Flood，不断发送大量假MAC地址的数据包，Switch就更新MAC-PORT缓存，如果能通过这样的办法把以前正常的MAC和Port对应的关系破坏了，那么Switch就会进行泛洪发送给每一个端口，让Switch基本变成一个 HUB，向所有的端口发送数据包，要进行嗅探攻击的目的一样能够达到。也将造成Switch MAC-PORT缓存的崩溃，如下面交换机中日志所示：

　　Internet 192.168.1.4 0000b.cd85.a193 ARPAVlan256

　　Internet 192.168.1.5 0000b.cd85.a193 ARPAVlan256

　　Internet 192.168.1.6 0000b.cd85.a193 ARPAVlan256

　　Internet 192.168.1.7 0000b.cd85.a193 ARPAVlan256

　　Internet 192.168.1.8 0000b.cd85.a193 ARPAVlan256

　　Internet 192.168.1.9 0000b.cd85.a193 ARPAVlan256

[1]