現(xiàn)在針對ARP的攻擊，可以說是層次不窮。雖然相關(guān)的措施也有不少，但是道高一尺、魔高一丈，防不勝防。針對這種情況，在思科的網(wǎng)絡(luò)產(chǎn)品中，設(shè)計了動態(tài)ARP檢測的技術(shù)。雖然這個技術(shù)不能夠從根本上解決ARP帶來的安全隱患，大但是對于遏制其危害，特別是中間人攻擊方面，仍然有獨到的表現(xiàn)。

一、中間人攻擊案例模擬

如上圖，是一個簡單的網(wǎng)絡(luò)架構(gòu)圖。有三臺終端同時連接到同一個工作組交換機(jī)中。(實際情況可能會有更多的終端，為了簡單起見，筆者以三個終端為例)。此時如果主機(jī)A需要訪問主機(jī)B(第一次訪問時只知道對方的IP地址而不知道MAC地址)，就需要先發(fā)送一個ARP請求。向各臺主機(jī)詢問，IP地址為多少的主機(jī)其MAC地址為多少，并會附上主機(jī)A的MAC地址。

這個ARP請求會以廣播的形式在網(wǎng)絡(luò)中傳播，即網(wǎng)絡(luò)中的每一臺客戶端都將受到這個信息。正常情況下，除了B以外的不相關(guān)的主機(jī)都會丟棄這個數(shù)據(jù)包。而只有主機(jī)B接收到這個請求后，才會進(jìn)行響應(yīng)。主機(jī)B首先會在自己的ARP緩存中創(chuàng)建主機(jī)A IP地址與MAC地址的相關(guān)記錄(如果已經(jīng)存在這個IP地址，則會進(jìn)行更新)，并向主機(jī)A發(fā)送ARP響應(yīng)。此時的ARP響應(yīng)是一個單播數(shù)據(jù)包，即直接發(fā)送給主機(jī)A，而不是以廣播的形式發(fā)送。

以上是一個比較正常的ARP處理流程。但是在這個處理的過程中，如果沒有采取恰當(dāng)?shù)陌踩胧瑒t很可能會引發(fā)中間人攻擊。如上圖所示，如果終端設(shè)備C在收到主機(jī)A發(fā)送的ARP請求之后，沒有拋棄這個數(shù)據(jù)包，而是發(fā)送了偽造的ARP響應(yīng)(將自己的MAC地址替代主機(jī)B的MAC地址)，其就可以發(fā)起中間人攻擊。在接收到主機(jī)C的ARP響應(yīng)之后，主機(jī)A將不能夠擁有主機(jī)B的正確MAC地址與IP地址。

對于主機(jī)A來說，它就會錯誤的認(rèn)為主機(jī)C就是其要發(fā)送數(shù)據(jù)的對象。從而將數(shù)據(jù)直接發(fā)送給主機(jī)C。此時對于主機(jī)A和主機(jī)B之間的任何通信，就會被發(fā)送到主機(jī)C上。然后主機(jī)C在獲取相關(guān)的內(nèi)容之后，可能進(jìn)行流量的重定向。在這個過程中，主機(jī)C就被稱為中間人。這個過程就被稱為中間人攻擊。

服務(wù)器租用/服務(wù)器托管中國五強(qiáng)！虛擬主機(jī)域名注冊頂級提供商！15年品質(zhì)保障！--億恩科技[ENKJ.COM]