ARP欺骗的基本原理

ARP协议不仅在发送ARP请求时收到ARP回复。当计算机收到ARP回复数据包时，它会更新本地ARP缓存并将响应中的IP和MAC地址存储在ARP缓存中。

ARP协议不仅在发送ARP请求时收到ARP回复。当计算机收到ARP回复数据包时，它会更新本地ARP缓存并将响应中的IP和MAC地址存储在ARP缓存中。假设局域网中的某台机器A已准备好向B发送数据，如果不道德的主机C想要在A中窃取数据或其他用途，则可能会向A发送ARP数据包。数据包表示该MAC地址主持人B已经改变了。当主机A收到消息时，它会立即更新原始主机B的MAC地址。在A中，B的IP地址不会改变。当B通信时，它将新的MAC地址封装在数据包中。 1）如果MAC地址是前一个主机C，则主机A将错误地将要发送给主机B的数据发送到主机C，主机C被主机C成功窃取，主机C“看到”以隐藏眼睛和耳朵。在数据通过之后，它被发送到主机B，从而主机A和主机B之间的正常通信不受影响。 2）但是，如果主机C发送给主机A的ARP更新报文中的MAC地址不是自己的，而是根本不存在的伪造的MAC地址，那么主机A和主机是不可能的B正常沟通。这是ARP病毒对PC主机之间网络通信的严重威胁和后果，导致数据被窃听或网络不合理。 虽然LAN之间的通信是主机和主机之间的直接通信，但如果要与外部网络上的主机通信，则需要使用网关或路由器（在许多情况下，LAN路由器直接充当网关）。当局域网中的主机A想要与外部网络上的主机通信时，当它封装数据包时，需要将目的MAC地址写为网关的MAC地址，然后转发到网关进行转发。在网络外部，如果主机A使用ARP数据包来请求网关的MAC地址，则不道德的主机C用ARP响应报告响应主机A.这时，还有两种情况。 1）在数据包中，根本不存在的MAC地址被通知给主机A.然后，主机A发送到远程网络的数据被不道德的主机“转移”，最后没有网关转发数据，导致外部网络无法正常通信，但这还不够。沟通是一个双向的项目。受害者将在公共网络或通信设备上拥有主机，但只有当数据仅发送给攻击者，而不是从公众接收响应时，受害者才会很快发现自己上网以便中断沟通，导致欺骗失败。 2）在数据包中，根MAC地址被通知给主机A，导致数据被窃听。结果是所有想要通过网站建设服务器上线的主机都会将发往网关的数据包发送给C.由于C充当诈骗者，他们知道网关服务器的真实IP-MAC对，并且发送了C来自其他房东。网关的数据之后是一步转发过程。如果C仅监视网络上的流量，则C只需要对每个主机的数据大小执行简单统计，然后将这些数据包转发到网关。这对访问外部网络的其他主机没有影响。但是，如果C想要限制网络流量，C可以部分转发这些数据包。 然后，攻击者此时对受害者和LAN中的真实网关是透明的。这是一种基于ARP欺骗的攻击，也称为MIM（ManInthemiddle）。