笔趣阁

ARP欺骗（第1页）

ARP欺骗

第一节：信任的裂痕

想象一个由三台电脑组成的微型局域网：

A(攻击者）：IP地址192。168。0。2，MAC地址MAC_A

S(源主机）：IP地址192。168。0。3，MAC地址MAC_S

D(目的主机）：IP地址192。168。0。4，MAC地址MAC_D

现在，S需要发送一张图片给D。数据经过上层协议封装，抵达最底层的网络接口层。但此时，S并不知道D的物理地址（MAC_D）。它首先查询自身的ARP缓存表——一个记录IP地址与对应MAC地址的本地数据库。

情况一：缓存命中。如果表中已有192。168。0。4->MAC_D的记录，S直接将数据包封装上目的MAC_D，发送出去。高效丶直接。

情况二：缓存未命中。S不知道MAC_D。于是，它向整个局域网发送一个ARP广播包（AddressResolutionProtocol），内容如同一声大喊：

“我是192。168。0。3(MAC_S）！我想知道IP地址为192。168。0。4的主机的硬件地址（MAC）是多少？”

局域网内所有主机（A丶S丶D）都收到了这个广播包。

A(攻击者）：一看查询的IP(192。168。0。4）不是自己的，丢弃该包，不予理会。

D(目的主机）：一看IP是自己的，立刻单独回复S（非广播）：

“我是192。168。0。4，我的硬件地址是MAC_D。”

S收到D的回复，知道了MAC_D，于是将图片数据包封装好（目的MAC=MAC_D）发送出去。同时，S会动态更新自己的ARP缓存表，添加192。168。0。4->MAC_D的记录。下次再发给D，就无需广播询问了。

这套机制看似完美，建立在一个核心假设之上：局域网内所有主机发送的ARP信息都是真实可信的。

第二节：攻击者现身

现在，攻击者A决定打破这份信任。

当S发出ARP广播询问“谁是192。168。0。4”後：

D会正常回复：“我是192。168。0。4，MAC是MAC_D。”

但此时，A也跳了出来，它僞造一个ARP回复包，声称：

“我是192。168。0。4，我的硬件地址是MAC_A！”(注意：IP地址冒充D，MAC地址填自己的）

关键在于，ARP协议本身没有身份验证机制！S无法区分哪个回复是真的，哪个是假的。更狡猾的是，A会持续不断地发送这种僞造的ARP回复包。

结果：

S原本正确的ARP缓存记录(192。168。0。4->MAC_D）被A持续发送的僞造信息覆盖污染。

S更新（或错误地认为需要更新）缓存，记录变成了：192。168。0。4->MAC_A。这是一个致命的错误记录！

後果：

此後，S所有打算发送给D(192。168。0。4）的数据包，其目的MAC地址都被错误地写成了MAC_A。

这些数据包，没有到达D，而是全部流向了A！

A成功劫持了S流向D的所有数据！

升级攻击：冒充网关