【网络安全笔记】什么是ARP欺骗攻击?怎么防御ARP欺骗攻击?

【网络安全笔记】什么是ARP欺骗攻击?怎么防御ARP欺骗攻击?

观前告示

此文章旨在分享网络安全知识学习经验,无不良引导。

本文章演示的恶意程序、木马病毒和各种网络攻击方式仅用于学习目的,样本不提供下载,请勿用于非法用途。

请遵守我国相关法律法规。


大家好,今天我讲一下ARP欺骗攻击。


什么是ARP欺骗攻击?

ARP欺骗攻击是一种网络攻击技术,攻击者通过发送伪造的ARP(地址解析协议)响应包给目标主机,

使得目标主机将攻击者的MAC地址错误地映射为目标IP的MAC地址,从而实现欺骗目标主机的目的。

这种攻击可以导致数据泄露、中间人攻击和拒绝服务攻击,对网络安全构成严重威胁。


这里先列举ARP欺骗攻击的三种攻击方式

1.攻击机假装网关来进行ARP欺骗攻击

2.攻击机假装目标机来进行ARP欺骗攻击

3.ARP断网攻击


在实验环境中,我搭建了Win7(目标机)与Kali Linux(攻击机)的虚拟网络,并确保两者均处于NAT模式下,模拟真实内网场景。

IP参考: Win7(目标机)192.168.3.135 Kali(攻击机)192.168.3.138 网关192.168.3.2

1. 攻击机伪装网关:让目标误认“假门卫”

这是最常见的方式。攻击命令为:

arpspoof-ieth0-t192.168.3.135192.168.3.2

此时,目标机发送给网关的所有流量(如访问百度)都会先经过攻击机。而攻击机若开启IP转发(echo 1 > /proc/sys/net/ipv4/ip_forward),则可继续转发给真实网关,实现“静默劫持”——用户毫无感知,却已身处“透明隧道”之中。

好,攻击开始

我们通过Wireshark里面捕获分析arp数据包,可以发现arpspoof确实是有在攻击的。

2. 攻击机伪装目标机:让网关“认错人”

反向操作同样有效:

arpspoof-ieth0-t192.168.3.2192.168.3.135

这次,网关会把发给目标机的数据包送到攻击机。配合IP转发,攻击机即可截获所有进出目标机的流量,包括登录凭证、图片等敏感内容。

3. 断网攻击:关闭流量转发的“静默杀招”

第三种攻击方式,是通过ARP欺骗攻击的方式使得目标机断网。

其实这种攻击方式的原理和第一种差不多,唯一的区别是流量转发是否开启。

这次我打算关闭流量转发的功能,再重新执行第一种攻击方式。

使得攻击机假装网关去攻击目标机。

若关闭IP转发(echo 0 > /proc/sys/net/ipv4/ip_forward),再执行第一种攻击,则目标机发出的数据包虽被重定向至攻击机,但无法被转发出去——结果就是目标机“能发不能收”,表现为网页打不开、DNS超时,浏览器反复转圈,最终显示“无法连接”。

原本能开的网页

这正是典型的“ARP断网攻击”,无需复杂工具,仅靠一条命令即可瘫痪单台设备。


二、数据劫持实战:从URL到密码的全链路捕获

攻击本身只是手段,真正的威胁在于后续的数据窃取。

GET http://www.baidu.com/... GET http://www.360.cn/...

浏览百度

接着,用[driftnet](https://zhida.zhihu.com/search?content_id=277737235&content_type=Article&match_order=1&q=driftnet&zhida_source=entity)抓取HTTP图片——实测这个工具只可以捕获http协议中的图片,https是捕获不了的。

这里捕获成功了。我们当使用HTTP协议浏览网页时,数据包在传输过程中是未加密的明文形式。

Driftnet通过网络嗅探技术,可以捕获到这些明文数据包,并从中提取出图片数据,解码后显示。

HTTPS是密文传输,Driftnet无法直接解析和获取这些加密流量中的图片数据。所以就捕获失败了。


最后,我模拟注册行为:在目标机上填写一个虚构账号qweqw1111@qq.com并提交。后台运行的[ettercap](https://zhida.zhihu.com/search?content_id=277737235&content_type=Article&match_order=1&q=ettercap&zhida_source=entity)精准捕获了POST请求中的明文用户名与密码字段:

整个过程无需目标机安装任何软件,也无需社会工程学诱导——只要在同一局域网,且未启用防护,攻击即刻生效。

三、如何防御?五层纵深策略

面对如此隐蔽的攻击,单一措施远远不够。我总结出以下五级防御体系:

1.静态ARP绑定

在关键设备(如服务器、网关)上手动绑定IP-MAC对应关系。Windows可通过arp -s命令实现,Linux则修改/etc/ethers或使用arpwatch监控异常变更。

2.启用ARP防火墙与检测

现代交换机普遍支持DAI(动态ARP检测),可校验ARP包中IP与MAC的合法性;终端侧也可部署如ArpGuard等工具,实时告警异常ARP响应。

3.网络接入控制

采用802.1X认证+MAC白名单,确保只有授权设备能接入网络。结合RADIUS服务器,从源头杜绝非法设备入网可能。

4.网络隔离与分段

利用VLAN划分不同业务区域(如办公区、访客区、IoT设备区),限制广播域范围,使ARP欺骗无法跨区传播。

5.提升安全意识

最终防线永远是人。不随意点击不明链接、不下载来源不明文件、优先使用HTTPS、定期更新系统补丁——这些看似老生常谈的习惯,恰恰是抵御初级攻击的铜墙铁壁。


技术没有善恶,关键在于使用者的意图。我希望这篇复盘能帮助更多人看清网络世界的“暗流”,并在日常工作中多一分警惕、少一分侥幸。毕竟,真正的安全,始于认知,成于实践。