前言：ARP是地址解析協議，是一種將IP地址轉化成物理地址的協議。

為什么我們今天要談一談ARP呢？從一個層面來講，關于網絡安全方面的知識一直是不少用戶關心的問題；另一方面，細節性的防御措施大部分人并不是很熟悉。

所以今天就從ARP這個小點入手，談一談ARP的原理以及ARP欺騙的危害及防御措施。希望可以幫助到大家。

1.ARP的原理是什么

對于ARP的原理，我們可以舉一個簡單的例子，如下所示：

比如某機器A要向主機B發送報文，會查詢本地的ARP緩存表，找到B的IP地址對應的MAC地址后，就會進行數據傳輸。

如果未找到，則A廣播一個ARP請求報文，所有主機都收到ARP請求，主機B識別自己的IP（192.168.1.100）地址，向A主機發回一個ARP響應報文。

正常ARP情況

其中就包含有B的MAC地址，A接收到B的應答后，就會更新本地的ARP緩存，接著使用這個MAC地址發送數據。

2.ARP欺騙情況

ARP欺騙的情況下，黑客冒充網關，廣播與正牌網關一樣的報文，主機收到廣播之后并無法識別是正牌網關還是冒牌網關，也會回應一個ARP響應報文并在主機本地ARP緩存更新網關的MAC地址。

在這種情況下，后續所有本應發給正牌網關的報文則全部發送給了冒牌網關，導致冒牌網關就會接收到主機的報文，這樣子就會對客戶個人信息安全造成威脅。

ARP欺騙情況

3.ARP雙向欺騙原理

ARP欺騙是一種中間人攻擊，正如字面意思一樣，中間人攻擊就是攻擊者扮演中間人并且實施攻擊。在同一局域網，主機A和B通過網關G相互通信，就好比A和B兩個人寫信，由郵遞員G送信，C永遠都不會知道A和B之間說了些什么話。

但是并不是想象中的那么安全（在ARP緩存表機制存在一個缺陷，就是當請求主機收到ARP應答包后，不會去驗證自己是否向對方主機發送過ARP請求包，就直接把這個返回包中的IP地址與MAC地址的對應關系保存進ARP緩存表中，如果原有相同IP對應關系，原有的則會被替換）。

ARP雙向欺騙原理

這樣C就有了偷聽A和B的談話的可能，C假扮郵遞員，首先要告訴A說：我就是郵遞員 ，愚蠢的A很輕易的相信了，直接把C是郵遞員這個信息記在了腦子里；C再假扮A，告訴真實的郵遞員：我就是A ，智商捉急的郵遞員想都沒想就相信了，以后就把B的來信送給了C，C當然就可以知道A和B之間聊了些什么。

這個故事就是ARP雙向欺騙的原理了。ARP單向欺騙就更好理解了，C假扮郵遞員，收取了A的信件，但不假扮A，因此真的郵遞員按照原來腦子里的信息將信件給了A。

4.ARP欺騙的危害

ARP攻擊的危害主要有兩個方面。從ARP攻擊的原理來看，這種攻擊使得受害主機的所有網絡數據都會被黑客收集。

這樣一來，要竊取信息或控制流量就變得輕而易舉。另一方面，由于ARP緩存會不斷刷新，有的時候，真正的網關會偶爾清醒。

當真正的網關參與到數據包轉發中來時，由于做了一個切換動作，可能會有頻繁的短暫掉線現象。所以，如果Web服務器所在網絡中發生了ARP攻擊，將導致Web服務器不可訪問。

5.ARP欺騙防御

在無線網絡中，防御ARP欺騙的有效方法是網絡管理員分別在主機或接入點上和路由器或控制器上對IP和MAC地址進行靜態映射綁定。

信銳ARP網關防欺騙

（1）提高客戶端本機的安全性

及時更新本機的操作系統和應用程序補丁，防止黑客利用這些漏洞來攻擊用戶。安裝和更新殺毒軟件，開啟主動防御和實時監控，并定期殺毒。

（2）利用交換機防止ARP攻擊

在交換機上綁定MAC地址與IP地址，為每臺主機添加一條IP地址和MAC地址對應的關系靜態地址表。

ARP綁定防御

用戶發送數據包時，若交換機獲得的IP和MAC地址與之前建立的映射表匹配，則發送的包 能通過，否則將丟棄該數據包，從而有效地防止ARP欺騙。

（3）借助第三方軟硬件

防火墻是一種協助確保信息安全的設備，會依照特定的規則，允許或是限制傳輸的數據通過。

防火墻可以是一臺專屬的硬件，也可以是一套軟件，通過防火墻可以設置相關網絡規則，強化網絡安全策略，提高局域網數據流的安全性。

綜上所述，可以發現，想要做好ARP欺騙的防御其實并不難，及時更新、利用交換機、借助軟硬件三種辦法即可。