关于酒店ARP欺骗的防范与处理

在今天网络已经成为人们工作和生活不可缺少的一部分，它的种种好处不必介绍．大家应该比我知道的多．随着网络带给人们的种种好处人们也越来越依赖互连网，但是各种安全隐患也随之而来．网上银行被人家转帐，游戏账号被盗．网站被黑．等等诸如此类的事情每天都在发生．有人会觉得这和ARP欺骗有什么关系呢．有很大的关系．

在开始前先说下ARP协议，ARP协议是Address Resolution Protocol(地址解析协议的缩写)处于OSI参考模型的第二层，在局域网中数据是以帧的形式发送的，在数据帧中包含了源MAC地址和目的MAC地址．ARP协议的作用就是把这些MAC地址转换成IP地址．当主机A需要和主机B通讯的时候

它首先会向主机B发一个ARP请求包．包的内容包括包括自己的源IP地址和MAC地址以及目的主机B的IP地址．然后封装成以数据帧．以源地址为主机A的MAC目的地址为ff:ff:ff:ff:ff:ff的形式将这个数据帧发送出去．这个帧发出去后．因为目的地址是一个广播所以同一网段的所有主机都会接受这个数据帧．然后解开封装．只有主机B会接受这个ARP请求包，其他的都会丢弃这个数据包．因为ARP请求包中的目的IP地址是主机B的．主机B在接受到这个ARP请求后会回应一个ARP响应包．包的内容包括源主机B的IP地址和MAC地址以及目的主机A的IP地址和MAC地址．然后封装成以主机A的MAC地址为目的地址源地址为主机B的MAC地址的数据帧发送给主机A，主机A接收到这个响应包后会更新自己的ARP缓存．让主机B的IP地址对应主机B的MAC地址．主机B也同时更新自己的ARP缓存让主机A的IP地址对应主机A的MAC地址．这就是整个ARP协议个工作过程．

刚才说了ARP协议的工作过程下面来看ARP欺骗就应该很简单了，ARP欺骗有多种形式．有的是欺骗网络上的所有主机冒充网关，有的是欺骗网关让网关把数据包转发给自己而不转发到正确的主机，还有就是同时欺骗网关和网络上的所有主机，以及针对特定主机的欺骗．下面分别说一说这些欺骗是怎么实现的．

欺骗网络上的所有主机冒充网关，欺骗主机会向同一网段下的主机发送ARP请求广播．这个ARP请求包的内容实际上是伪造的．它会把源IP地址修改成网关的IP地址，源MAC地址就不是网关的了，而是欺骗主机自己的MAC地址，当然这个MAC地址并不一定是真实的有可能也是伪造的．当同一网段下的主机接受到请求之后会响应这个请求包同时会修改自己的ARP缓存让网关IP对应错误的MAC．这样欺骗主机的目的就达到了．当然你也许会想冒充网关的IP难道网关就没意见了．当然有了．但是欺骗主机是有办法的．最好的办法就是让网关变哑巴．就好比有人冒充你的名字在外面行骗而要你不说话．那么怎么才能够让你不说话．当然最好的办法就是让你说不出话．办法有很多．欺骗主机采取的办法一般是攻击网关比如DOS攻击．这样网关就说不出话了．而被欺骗主机本来应该发送到网关的数据包就会发送到欺骗主机．欺骗主机并不会转发这些数据包．而是检查这些数据包中有没有明文密码或者聊天信息或者一写没有加密的敏感数据．然后就会丢弃数据包．被欺骗主机本来要交给网关转发的数据包被丢弃了就会出现不能上网的现象．数据包被丢弃了肯定上不了网了，如果你ping defaultgateway你会发现是通的用arp-a查看MAC缓存里网关对应的MAC是错误的并非真实网关的MAC．

欺骗网关的ARP欺骗是怎么做的呢．其实和上面一个差不多．只不过欺骗的对象改成了网关．欺骗主机会不停的向网关发送ARP请求包，这个请求包里的源IP地址是整个网络里的任一主机的IP地址．而源MAC地址却是欺骗主机的MAC地址．网关在接受到请求后会响应一个ARP包同时更新ARP缓存让正确的主机IP对应错误的MAC地址．这时候又需要让被欺骗主机不说话了．原因上面已经说过了．所以在欺骗的同时会攻击被欺骗主机可以DOS或者发送IP冲突．这样从网关本来转发到正确主机的数据包就转发到了欺骗主机了．数据包还是会被丢弃．

同时欺骗主机和网关也叫中间人攻击．那么什么是中间人攻击呢．欺骗主机开启自己的数据转发功能具体怎么开启这里不详述了想知道的可以百度下．伪造的两种ARP请求包．一种针对网关，一种针对其他主机，欺骗形式跟上面一样．唯一不同的是它不会丢弃数据包．他接受到主机发送到网关的数据包会转发给网关而网关需要转发给下面主机的数据包也会通过欺骗主机转发到被欺骗主机．这样网络看似正常但是所有网关与整个网段的主机通信的数据包都将被欺骗主机看到．如果存在敏感信息．后果是可以想像的．

针对特定主机的欺骗．这种攻击方法主要体现在网络渗透中．而且一般是很有用的攻击．可以实现嗅探目标主机的FTP 3389 SQL的账号密码．当然还可以实现在不入侵目标网站就可以在对方主页上挂上自己的木马．在入侵一个大站的时候如果人家安全做的很好．而且又是独立主机无法进行跨站旁注的时候．这个时候ARP欺骗就有大作用了．入侵者会扫描和目标主机同一网段下的主机．只要有一台主机可以入侵进去那么ARP欺骗就该上场了．他首先会实现中间人欺骗的方式进行欺骗让网关转发向目标主机的数据先经过他再转发到目标主机．如果在欺骗过程中目标主机的管理员登陆目标主机．那么就有可能会泄露账号密码．或者目标主机管理员没有登陆．入侵者失去耐心的时候就会在目标主机响应客户端HTTP数据包中做手脚．在数据包中插入挂马的代码形成ARP欺骗网站挂马．当管理员发现自己的网站被挂马的时候第一反应一般是被入侵了．然后就会登陆主机．一旦登陆那么入侵者的目的也就达到了．

从上面可以看出ARP欺骗的危害是多么的大了．ARP欺骗无处不在．在了解原理后你会发现其实防范的方法很简单．就是在路由上和客户机上实现双向的IP地址和MAC地址双向绑定就可以让ARP欺骗无法得逞．对于像酒店这样特殊的场合无法实现双向绑定的．就需要在路由和交换机上想办法．具体要求是需要交换机支持二层访问控制列表．过滤掉所有上行端口上的源IP为网关目的地址为广播的ARP广播．这样就可以拒绝所有冒充网关形式的ARP欺骗出现．路由器的要求是需要支持DHCP动态绑定的路由器．这样就可以很完美的解决ARP欺骗

ARP欺骗存在的主要原因大致分析了下．网民上网的安全意识不高过分依赖杀毒软件．或者网络管理员懒惰．还有一种是缺少硬件的支持，就像上面说的酒店的网络．现在很多酒店都提供免费上网服务．由于是免费的．所以网络设备也就会考虑成本控制．路由和交换都用最简单的产品．最简单一般也就代表最便宜．导致维护困难结果是ARP泛滥．