如果您熟悉蒙面歌王，您就会明白蒙面歌王的概念：有人伪装成别人。然后，当面具掉下来时，您会大吃一惊，知道了这位名人是谁。类似的事情也发生在 ARP 欺骗攻击中，只是令人惊讶的是，威胁行为者利用他们的伪装发起破坏性攻击——而不是用他们的歌声让您惊叹不已。

在本篇博文中，我们将深入研究 ARP 欺骗和 ARP 缓存中毒攻击，包括它们的工作原理、不同类型的攻击及其影响。

我们还将解释如何检测攻击以及防范 ARP 欺骗的不同方法，以防止威胁者使用该技术在您的网络中制造混乱，甚至更糟——窃取数据、感染恶意软件或完全破坏网络。

什么是 ARP 协议？

在深入研究 ARP 欺骗之前，重要的是要了解 ARP 协议、它在网络通信中的作用以及其引发攻击的弱点。

ARP 代表地址解析协议，它支持OSI 模型中的分层方法，促进网络上不同组件之间的连接和数据流动。ARP 通过媒体访问控制 (MAC) 地址将 Internet 协议 (IP) 地址连接到物理机器。  

主机维护一个 ARP 缓存，即 IP 地址和 MAC 地址之间的映射表。如果主机 A 没有主机 B 的 MAC 地址，它会发出一个 ARP 请求数据包，向网络上的其他机器询问匹配的 MAC 地址。这成为威胁行为者利用的弱点，可以发起 ARP 欺骗或缓存中毒攻击。

ARP 仅适用于较旧的 IPv4 标准，而不适用于较新的 IPv6 标准，后者使用称为网络发现协议 (NDP) 的不同协议。NDP 更安全，并且具有多层防御来验证主机身份。但由于截至 2023 年 12 月，仍有超过一半的互联网用户使用 IPv4，因此 ARP 欺骗仍然是一个问题。

什么是 ARP 欺骗？

ARP 欺骗是指攻击者使用自己设备的 MAC 地址响应 ARP 请求数据包。这样一来，他们便可以在网络上的所有其他设备上伪装成其他人，并拦截发往网络上合法计算机或服务器的 IP 流量和数据。发出请求的主机会将该欺骗地址存储在其 ARP 缓存中并继续使用它，从而在不知不觉中共享了原本不会落入威胁行为者手中的信息。

ARP 缓存中毒可能与 ARP 欺骗混淆。ARP 缓存中毒是指 ARP 缓存被污染，而 ARP 欺骗是攻击者冒充机器地址的行为。无论是哪种情况，其后果可能包括从在网络上制造混乱到数据窃取、会话劫持、中间人攻击和DDoS攻击等一切。

ARP 欺骗攻击工作原理的分步指南

ARP 欺骗可使恶意方拦截、修改甚至停止传输中的数据。这些攻击通常包括以下五个步骤：

攻击者打开ARP欺骗工具，并将该工具的IP地址设置为与目标的IP子网一致。

攻击者使用ARP欺骗工具扫描目标子网中主机的IP和MAC地址。

攻击者选择目标并开始通过网络发送包含攻击者的 MAC 地址与目标的 IP 地址配对的 ARP 数据包。

随着网络上的其他主机缓存欺骗性的 ARP 数据包，攻击范围开始扩大，这些主机发送给受害者的数据开始流向攻击者。

此时，由于攻击者可以窃取越来越多的数据或发起更复杂的后续攻击，因此攻击的影响会扩大。

黑客为何使用 ARP 欺骗

ARP 欺骗尤其危险，因为它被用作发起其他更具破坏性的攻击并造成额外损害的平台。例如：

如果攻击者获得会话 ID，他们就可以访问用户当前登录的帐户。

攻击者可以利用服务器的MAC地址发起DDoS攻击，通过对大量IP地址重复此操作，受害者将不堪重负。

攻击者可以拦截和修改流量，包括向受害者的机器发送恶意文件或恶意网站的链接。

攻击者可以嗅探数据包并窃取数据，除非通信通过 TLS 和HTTPS加密。

ARP 中毒攻击的类型

ARP 中毒攻击有两种发生方式：

1. 攻击者可以等待看到特定目标的 ARP 请求并发出响应。这种方法更隐蔽，但影响也更小。

2. 攻击者可以发送未经请求的广播消息，也称为“免费 ARP”。这种方法更引人注目且更直接，并且影响更多的受害者。

在这两种方法中，受害计算机上损坏的 ARP 缓存可用于传播以下攻击：

中间人 (MiTM) 攻击

攻击者针对给定的 IP 地址（通常是特定子网的默认网关）发送伪造的 ARP 响应。这会导致受害计算机使用攻击者计算机的 MAC 地址（而不是本地路由器的 MAC 地址）填充其 ARP 缓存。受害计算机随后会错误地将网络流量转发给攻击者。然而，对于受害者来说，一切可能看起来都很正常。 

DDoS攻击

DDoS攻击旨在阻止受害者访问网络资源。在 ARP 攻击中，攻击者可能会发送带有数百甚至数千个伪造 IP 地址的 ARP 响应消息，这使得追踪来源变得困难，并压垮目标的基础设施。

会话劫持

会话劫持攻击的性质与中间人攻击类似，不同之处在于攻击者不会直接将流量从受害者机器转发到其预期目的地。相反，攻击者会从受害者那里获取会话 ID，并使用它来冒充受害者的身份。例如，如果目标用户恰好登录，这可用于访问他们的社交媒体或网上银行账户。

如何检测 ARP 欺骗或 ARP 缓存中毒

可以使用终端或命令行中的“arp -a”命令显示 ARP 表来检测 ARP 欺骗攻击。如果表中包含两个不同的 IP 地址，但 MAC（或物理）地址相同，则可能意味着正在进行 ARP 攻击。

还有一些特定工具可以持续监控网络，并可以向管理员发出 ARP 欺骗或 ARP 缓存中毒攻击迹象的警报。如果您正在处理大型网络，这样的工具可以让您免于繁琐的工作，并节省您手动检查数百甚至数千个 ARP 表的时间。

但是，这些工具可能会让管理员因不必要的警报和误报而不知所措。

如何防范 ARP 欺骗或 ARP 缓存中毒

俗话说，“一分预防胜过十分治疗”，对于 ARP 欺骗和 ARP 中毒攻击来说尤其如此。

为了防范这些攻击，最佳实践和技术的结合可以有所帮助，包括：

使用数据包过滤

数据包过滤器会在数据包穿越网络时对其进行检查，有助于过滤和阻止具有冲突源地址信息的数据包，使它们无法到达其他设备。

部署 VPN

VPN会加密您的所有网络流量，因此这些流量对于 ARP 欺骗攻击者来说毫无价值。但是，根据您网络的规模，VPN 可能会变得不切实际并对网络性能产生负面影响，因为您需要在每台计算机和服务器之间建立 VPN 连接。

采用强大的DDoS保护

DDoS攻击形式多样，规模各异，通过向目标服务器或网络发送大量请求使其不堪重负。ARP 欺骗和 ARP 中毒攻击符合这一定义，利用不规则的请求模式。全面的DDoS保护解决方案可防御各种DDoS攻击，包括 ARP 欺骗攻击，以及其他威胁，包括数据盗窃和影响服务可用性的其他类型的攻击。

定义静态 ARP

ARP协议允许您为 IP 地址定义静态 ARP 条目。例如，如果计算机始终连接到同一个路由器，则可以为该路由器定义静态 ARP 条目并消除该地址的 ARP 响应。

使用加密网络协议

传输层安全性 (TLS)、安全外壳 (SSH)、HTTP 安全 (HTTPS)和其他安全通信协议通过在传输前加密数据并在接收数据时进行身份验证来帮助阻止 ARP 欺骗攻击。

避免信任关系

依赖 IP 地址进行身份验证的信任关系很容易让攻击者进行 ARP 欺骗攻击。

运行红/紫队测试

一旦您采取了防御措施，请检查它们是否有效。您可以使用红/紫队测试练习来模拟 ARP 欺骗攻击，并让您有机会解决您发现的任何弱点。

ARP 欺骗攻击基于伪装和操纵元素。威胁行为者对网络上的所有其他设备来说都是其他人，并拦截发往网络上合法计算机或服务器的 IP 流量和数据。ARP 欺骗攻击可能很隐蔽，也可能更引人注目。无论哪种方式，它们都可能带来重大风险。

幸运的是，IPv6 标准使用更安全的 NDP，并且有多层防御来验证主机身份，这使得它不受 ARP 欺骗和 ARP 缓存中毒的影响。但由于不到一半的设备使用 IPv6，这些攻击在可预见的未来仍将是一个问题。

为了防御 ARP 欺骗和 ARP 缓存中毒攻击，组织可以结合使用最佳实践和技术，包括数据包过滤、部署 VPN、定义静态 ARP、使用加密网络协议、避免信任关系以及使用DDoS防护解决方案。

DDoS保护即使在遭受DDoS攻击时也能提供不间断的服务可用性，并可保护您免受 ARP 欺骗攻击以及其他类型的DDoS攻击和可能威胁您运营的后续恶意活动的侵害。