ARP攻击前提是需要熟悉网卡的工作模式,网卡的工作模式分为单播、广播、组播等,arp协议发送请求是广播模式,回复是单播模式。概念:通过ip地址查找目标机器mac地址,源机器通过广播方式发送请求包(包里包含目标ip),目标机器确认是自己的ip后回复包,不是自己的丢弃。arp协议字段解读Hardware type :硬件类型,标识链路层协议 Protocol type: 协议类型,标识网络层协议 Hardware size :硬件地址大小,标识MAC地址长度,这里是6个字节(48bti) Protocol size: 协议地址大小,标识IP地址长度,这里是4个字节(32bit) Opcode: 操作代码,标识ARP数据包类型,1表示请求,2表示回应 Sender MAC address :发送者MAC Sender IP address :发送者IP Target MAC address :目标MAC,此处全0表示在请求 Target IP address: 目标IP 攻击原理被动监听 ARP欺骗攻击建立在局域网主机间相互信任的基础上的当A发广播询问:我想知道IP是192.168.0.3的硬件地址是多少?此时B当然会回话:我是IP192.168.0.3我的硬件地址是mac-b,可是此时IP地址是192.168.0.4的C也非法回了:我是IP192.168.0.3,我的硬件地址是mac-c。而且是大量的。所以ARP缓存表“后到优先”原则,A就会误信192.168.0.3的硬件地址是mac-c,而且动态更新缓存表这样主机C就劫持了主机A发送给主机B的数据,这就是ARP欺骗的过程。假如C直接冒充网关,此时主机C会不停的发送ARP欺骗广播,大声说:我的IP是192.168.0.1,我的硬件地址是mac-c,此时局域网内所有主机都被欺骗,更改自己的缓存表,此时C将会监听到整个局域网发送给互联网的数据报。<img src=“https://s3.51cto.com/wyfs02/M...; />主动扫描解决方案 对于 ARP 欺骗攻击,利用接入层交换机上已经记录了 Snooping 表项或(和)静态绑定了合法用户的信息进行报文合法性判断。当交换机端口上收到 ARP 报文,将报文中的 IP 和 MAC 地址提取出来,然后与上述表项进行对比,若 IP、MAC 以及收到报文的端口信息在表项中,则认为是合法报文,正常处理,否则认为是非法报文予以丢弃。参考网络通信协议 一个动画看懂网络原理之CSMA/CD的工作原理 [图解]ARP协议(一) 图解ARP协议(二)ARP攻击原理与实践cookie劫持ICMP数据包攻击ip地址欺骗和Smurf攻击dos攻击目录遍历攻击协议指纹识别操作系统死亡之ping (Ping of death)泪滴 (teardrop)攻击