2024年4月28日发(作者:)

基于WinArpAttacker软件的ARP攻击

【摘要】本文主要介绍了ARP地址解析协议的原理以及利用WinArpAttacker这个攻击软件

模拟一次ARP攻击的攻击过程,最后再介绍了防止ARP攻击的主要手段。其中对于

WinArpAttacker这个软件进行了较为详细的介绍。

【关键字】ARP WinArpAttacker ARP攻击

1. 引言

ARP,即地址解析协议,实现通过IP地址得知其物理地址。在TCP/IP网络环境下,每个

主机都分配了一个32位的IP地址,这种互联网地址是在网际范围标识主机的一种逻辑地址。

为了让报文在物理网路上传送,必须知道对方目的主机的物理地址。这样就存在把IP地址变

换成物理地址的地址转换问题。

ARP攻击就是通过伪造IP地址和MAC地址实现ARP欺骗,能够在网络中产生大量的

ARP通信量使网络阻塞,攻击者只要持续不断的发出伪造的ARP响应包就能更改目标主机

ARP缓存中的IP-MAC条目,造成网络中断或中间人攻击。ARP攻击主要是存在于局域网网

络中,局域网中若有一个人感染ARP木马,则感染该ARP木马的系统将会试图通过“ARP

欺骗”手段截获所在网络内其它计算机的通信信息,并因此造成网内其它计算机的通信故障。

2. 正文

2.1ARP原理介绍

在每台安装有TCP/IP协议的电脑里都有一个ARP缓存表,表里的IP地址与MAC地址是

一一对应的。以主机A(192.168.1.5)向主机B(192.168.1.1)发送数据为例。当发送数据

时,主机A会在自己的ARP缓存表中寻找是否有目标IP地址。如果找到了,也就知道了目标

MAC地址,直接把目标MAC地址写入帧里面发送就可以了;如果在ARP缓存表中没有找到目

标IP地址,主机A就会在网络上发送一个广播,A主机MAC地址是“主机A的MAC地址”,

这表示向同一网段内的所有主机发出这样的询问:“我是192.168.1.5,我的硬件地址是"主

机A的MAC地址".请问IP地址为192.168.1.1的MAC地址是什么?”网络上其他主机并不响

应ARP询问,只有主机B接收到这个帧时,才向主机A做出这样的回应:“192.168.1.1的

MAC地址是00-aa-00-62-c6-09”。这样,主机A就知道了主机B的MAC地址,它就可以向主

机B发送信息了。同时A和B还同时都更新了自己的ARP缓存表(因为A在询问的时候把自

己的IP和MAC地址一起告诉了B),下次A再向主机B或者B向A发送信息时,直接从各自

的ARP缓存表里查找就可以了。ARP缓存表采用了老化机制(即设置了生存时间TTL),在一

段时间内(一般15到20分钟)如果表中的某一行没有使用,就会被删除,这样可以大大减

少ARP缓存表的长度,加快查询速度。

2.2ARP欺骗

其实,此起彼伏的瞬间掉线或大面积的断网大都是ARP欺骗在作怪。ARP欺骗攻击已

经成了破坏网吧经营的罪魁祸首,是网吧老板和网管员的心腹大患。从影响网络连接通畅的

方式来看,ARP欺骗分为二种,一种是对路由器ARP表的欺骗;另一种是对内网PC的网关

欺骗。第一种ARP欺骗的原理是——截获网关数据。它通知路由器一系列错误的内网MAC

地址,并按照一定的频率不断进行,使真实的地址信息无法通过更新保存在路由器中,结果

路由器的所有数据只能发送给错误的MAC地址,造成正常PC无法收到信息。第二种ARP

欺骗的原理是——伪造网关。它的原理是建立假网关,让被它欺骗的PC向假网关发数据,

而不是通过正常的路由器途径上网。在PC看来,就是上不了网了,“网络掉线了”。一般来

说,ARP欺骗攻击的后果非常严重,大多数情况下会造成大面积掉线。有些网管员对此不甚

了解,出现故障时,认为PC没有问题,交换机没掉线的“本事”,电信也不承认宽带故障。

而且如果第一种ARP欺骗发生时,只要重启路由器,网络就能全面恢复,那问题一定是在路

由器了。为此,宽带路由器背了不少“黑锅”。作为网吧路由器的厂家,对防范ARP欺骗不得

已做了不少份内、份外的工作。一、在宽带路由器中把所有PC的IP-MAC输入到一个静态

表中,这叫路由器IP-MAC绑定。二、力劝网管员在内网所有PC上设置网关的静态ARP信

息,这叫PC机IP-MAC绑定。一般厂家要求两个工作都要做,称其为IP-MAC双向绑定。 显

示和修改“地址解析协议”(ARP) 所使用的到以太网的 IP 或令牌环物理地址翻译表。该命令

只有在安装了 TCP/IP 协议之后才可用。

受到ARP攻击后的电脑一般会呈现出“使用局域网时会突然掉线,过一段时间后又会恢

复正常。比如客户端状态频频变红,用户频繁断网,IE浏览器频繁出错,以及一些常用软件

出现故障等。如果局域网中是通过身份认证上网的,会突然出现可认证,但不能上网的现象

(无法ping通网关),重启机器或在MS-DOS窗口下运行命令arp -d后,又可恢复上网。”

2.3 WinArpAttacker的介绍