arp欺骗arp欺骗的实质是什么

本文目录一览：

• 1、什么是arp欺骗 arp欺骗的介绍
• 2、什么是ARP欺骗？
• 3、什么是ARP欺骗，ARP欺骗现象是什么

什么是arp欺骗 arp欺骗的介绍

1、ARP欺骗是黑客常用的攻击手段之一，ARP欺骗分为二种，一种是对路由器ARP表的欺骗；另一种是对内网PC的网关欺骗。

2、第一种ARP欺骗的原理是——截获网关数据。它通知路由器一系列错误的内网MAC地址，并按照一定的频率不断进行，使真实的地址信息无法通过更新保存在路由器中，结果路由器的所有数据只能发送给错误的MAC地址，造成正常PC无法收到信息。

3、第二种ARP欺骗的原理是——伪造网关。它的原理是建立假网关，让被它欺骗的PC向假网关发数据，而不是通过正常的路由器途径上网。在PC看来，就是上不了网了，“网络掉线了”。一般来说，ARP欺骗攻击的后果非常严重，大多数情况下会造成大面积掉线。有些网管员对此不甚了解，出现故障时，认为PC没有问题，交换机没掉线的“本事”，电信也不承认宽带故障。而且如果第一种ARP欺骗发生时，只要重启路由器，网络就能全面恢复，那问题一定是在路由器了。为此，宽带路由器背了不少“黑锅”。

什么是ARP欺骗？

说到ARP,那就要说网卡的硬件地址和TCP/IP协议!你分配给机器的IP地址别的机器访问的时候并不是寻找IP地址的,而是寻找对应IP地址的网卡硬件地址,ARP欺骗便是更改机器的网卡MAC地址来拦截发送到真实MAC的数据,造成真实的硬件不能与网络通讯或者被被欺骗者转发!(MAC地址既是网卡的硬件地址)

什么是ARP欺骗，ARP欺骗现象是什么

ARP欺骗的定义：

由于局域网的网络流通不是根据IP地址进行，而是根据MAC地址进行传输。所以，MAC地址在A上被伪造成一个不存在的MAC地址，这样就会导致网络不通，A不能Ping通C！这就是一个简单的ARP欺骗。

ARP欺骗现象表现为：

例如：主机A想要和主机B通信，主机A会查找本地arp表，找到主机B的mac地址，然后进行传输。如果主机A没有找到主机B的mac地址，那么主机A就会发送一个arp广播包，主机B收到这个ARP广播包后，回复主机A它的mac地址。然后主机A就会在本地arp缓存表里，生成主机B的ip和mac地址信息。（该表现默认会保存300秒）

ARP欺骗如何解决：

情况一、当局域网内某台主机感染了ARP病毒时，会向本局域网内（指某一网段，比如：10.10.75.0这一段）所有主机发送ARP欺骗攻击谎称自己是这个网端的网关设备，让原本流向网关的流量改道流向病毒主机，造成受害者不能正常上网。

情况二、局域网内有某些用户使用了ARP欺骗程序（如：网络执法官,QQ盗号软件等）发送ARP欺骗数据包，致使被攻击的电脑出现突然不能上网，过一段时间又能上网，反复掉线的现象。

关于ARP欺骗的具体原理请看我收集的资料ARP欺骗的原理 如果用户发现以上疑似情况，可以通过如下操作进行诊断：

点击“开始”按钮-选择“运行”-输入“arp –d”-点击“确定”按钮，然后重新尝试上网，如果能恢复正常，则说明此次掉线可能是受ARP欺骗所致。

注：arp -d命令用于清除并重建本机arp表。arp –d命令并不能抵御ARP欺骗，执行后仍有可能再次遭受ARP攻击。 1、中毒者：建议使用趋势科技SysClean工具或其他杀毒软件清除病毒。

2、被害者：(1)绑定网关mac地址。具体方法如下：

1）首先，获得路由器的内网的MAC地址（例如网关地址10.10.75.254的MAC地址为0022aa0022aa）。2）编写一个批处理文件AntiArp.bat内容如下： @echooffarp-darp-s10.10.75.25400-22-aa-00-22-aa

将文件中的网关IP地址和MAC地址更改为您自己的网关IP地址和MAC地址即可，计算机重新启动后需要重新进行绑定，因此我们可以将该批处理文件AntiArp.bat文件拖到“windows--开始--程序--启动”中。这样开机时这个批处理就被执行了。

(2)使用ARP防火墙(例如AntiArp)软件抵御ARP攻击。

AntiArp软件会在提示框内出现病毒主机的MAC地址 第一招：使用Sniffer抓包

在网络内任意一台主机上运行抓包软件，捕获所有到达本机的数据包。如果发现有某个IP不断发送

ARP　Request请求包，那么这台电脑一般就是病毒源。原理：无论何种ARP病毒变种，行为方式有两种，一是欺骗网关，二是欺骗网内的所有主机。最终的结果是，在网关的ARP缓存表中，网内所有活动主机的MAC地址均为中毒主机的MAC地址；网内所有主机的ARP缓存表中，网关的MAC地址也成为中毒主机的MAC地址。前者保证了从网关到网内主机的数据包被发到中毒主机，后者相反，使得主机发往网关的数据包均发送到中毒主机。

第二招：使用arp -a命令任意选两台不能上网的主机，在DOS命令窗口下运行arp -a命令。例如在结果中，两台电脑除了网关的IP，MAC地址对应项，都包含了192.168.0.186的这个IP，则可以断定192.168.0.186这台主机就是病毒源。原理：一般情况下，网内的主机只和网关通信。正常情况下，一台主机的ARP缓存中应该只有网关的MAC地址。如果有其他主机的MAC地址，说明本地主机和这台主机最后有过数据通信发生。如果某台主机（例如上面的192.168.0.186）既不是网关也不是服务器，但和网内的其他主机都有通信活动，且此时又是ARP病毒发作时期，那么，病毒源也就是它了。

第三招：使用tracert命令在任意一台受影响的主机上，在DOS命令窗口下运行如下命令：tracert61.135.179.148。假定设置的缺省网关为10.8.6.1，在跟踪一个外网地址时，第一跳却是10.8.6.186，那么，10.8.6.186就是病毒源。原理：中毒主机在受影响主机和网关之间，扮演了“中间人”的角色。所有本应该到达网关的数据包，由于错误的MAC地址，均被发到了中毒主机。此时，中毒主机越俎代庖，起了缺省网关的作用。

arp欺骗的介绍就聊到这里吧，感谢你花时间阅读本站内容，更多关于arp欺骗的实质是什么、arp欺骗的信息别忘了在本站进行查找喔。