ARP欺騙原理

在局域網(wǎng)中，主機通信前必須通過ARP協(xié)議把IP地址轉(zhuǎn)換為MAC地址，ARP欺騙就是通過偽造P地址與MAC地址的映射關(guān)系實現(xiàn)的一種欺騙攻擊。因為局域網(wǎng)內(nèi)的主機根據(jù)MAC地址進行通信，發(fā)送方檢查其ARP緩存中是否已存儲目標IP的MAC地址，否則它會廣播發(fā)送ARP請求報文，只有目標IP的主機才會響應一個包含其MAC地址的ARP應答報文，發(fā)送方收到該應答后，立即更新自身的ARP緩存。攻擊者可以發(fā)送虛假的ARP請求或應答報文，使得目標主機接收錯誤的“IP和MAC綁定關(guān)系”

ARP預防措施

(1)客戶端靜態(tài)綁定網(wǎng)關(guān)的真實MAC地址，一般的命令格式是：

Arp -s 網(wǎng)關(guān)IP地址 網(wǎng)關(guān)MAC地址。Windows xp中使用

(2)在交換機和路由器上設(shè)置端口與MAC地址的靜態(tài)綁定。

(3)定期檢測自身的ARP緩存，檢測是否有MAC地址相同的不同表項，即可發(fā)現(xiàn)異常。

(4)使用防火墻持續(xù)監(jiān)控ARP緩存，檢測異常變化。