当前位置: 首页 > news >正文

【网络安全笔记】什么是ARP欺骗攻击?怎么防御ARP欺骗攻击?

观前告示

此文章旨在分享网络安全知识学习经验,无不良引导。

本文章演示的恶意程序、木马病毒和各种网络攻击方式仅用于学习目的,样本不提供下载,请勿用于非法用途。

请遵守我国相关法律法规。


大家好,今天我讲一下ARP欺骗攻击。


什么是ARP欺骗攻击?

ARP欺骗攻击是一种网络攻击技术,攻击者通过发送伪造的ARP(地址解析协议)响应包给目标主机,

使得目标主机将攻击者的MAC地址错误地映射为目标IP的MAC地址,从而实现欺骗目标主机的目的。

这种攻击可以导致数据泄露、中间人攻击和拒绝服务攻击,对网络安全构成严重威胁。


这里先列举ARP欺骗攻击的三种攻击方式

1.攻击机假装网关来进行ARP欺骗攻击

2.攻击机假装目标机来进行ARP欺骗攻击

3.ARP断网攻击


在实验环境中,我搭建了Win7(目标机)与Kali Linux(攻击机)的虚拟网络,并确保两者均处于NAT模式下,模拟真实内网场景。

IP参考: Win7(目标机)192.168.3.135 Kali(攻击机)192.168.3.138 网关192.168.3.2

1. 攻击机伪装网关:让目标误认“假门卫”

这是最常见的方式。攻击命令为:

arpspoof-ieth0-t192.168.3.135192.168.3.2

此时,目标机发送给网关的所有流量(如访问百度)都会先经过攻击机。而攻击机若开启IP转发(echo 1 > /proc/sys/net/ipv4/ip_forward),则可继续转发给真实网关,实现“静默劫持”——用户毫无感知,却已身处“透明隧道”之中。

好,攻击开始

我们通过Wireshark里面捕获分析arp数据包,可以发现arpspoof确实是有在攻击的。

2. 攻击机伪装目标机:让网关“认错人”

反向操作同样有效:

arpspoof-ieth0-t192.168.3.2192.168.3.135

这次,网关会把发给目标机的数据包送到攻击机。配合IP转发,攻击机即可截获所有进出目标机的流量,包括登录凭证、图片等敏感内容。

3. 断网攻击:关闭流量转发的“静默杀招”

第三种攻击方式,是通过ARP欺骗攻击的方式使得目标机断网。

其实这种攻击方式的原理和第一种差不多,唯一的区别是流量转发是否开启。

这次我打算关闭流量转发的功能,再重新执行第一种攻击方式。

使得攻击机假装网关去攻击目标机。

若关闭IP转发(echo 0 > /proc/sys/net/ipv4/ip_forward),再执行第一种攻击,则目标机发出的数据包虽被重定向至攻击机,但无法被转发出去——结果就是目标机“能发不能收”,表现为网页打不开、DNS超时,浏览器反复转圈,最终显示“无法连接”。

原本能开的网页

这正是典型的“ARP断网攻击”,无需复杂工具,仅靠一条命令即可瘫痪单台设备。


二、数据劫持实战:从URL到密码的全链路捕获

攻击本身只是手段,真正的威胁在于后续的数据窃取。

GET http://www.baidu.com/... GET http://www.360.cn/...

浏览百度

接着,用[driftnet](https://zhida.zhihu.com/search?content_id=277737235&content_type=Article&match_order=1&q=driftnet&zhida_source=entity)抓取HTTP图片——实测这个工具只可以捕获http协议中的图片,https是捕获不了的。

这里捕获成功了。我们当使用HTTP协议浏览网页时,数据包在传输过程中是未加密的明文形式。

Driftnet通过网络嗅探技术,可以捕获到这些明文数据包,并从中提取出图片数据,解码后显示。

HTTPS是密文传输,Driftnet无法直接解析和获取这些加密流量中的图片数据。所以就捕获失败了。


最后,我模拟注册行为:在目标机上填写一个虚构账号qweqw1111@qq.com并提交。后台运行的[ettercap](https://zhida.zhihu.com/search?content_id=277737235&content_type=Article&match_order=1&q=ettercap&zhida_source=entity)精准捕获了POST请求中的明文用户名与密码字段:

整个过程无需目标机安装任何软件,也无需社会工程学诱导——只要在同一局域网,且未启用防护,攻击即刻生效。

三、如何防御?五层纵深策略

面对如此隐蔽的攻击,单一措施远远不够。我总结出以下五级防御体系:

1.静态ARP绑定

在关键设备(如服务器、网关)上手动绑定IP-MAC对应关系。Windows可通过arp -s命令实现,Linux则修改/etc/ethers或使用arpwatch监控异常变更。

2.启用ARP防火墙与检测

现代交换机普遍支持DAI(动态ARP检测),可校验ARP包中IP与MAC的合法性;终端侧也可部署如ArpGuard等工具,实时告警异常ARP响应。

3.网络接入控制

采用802.1X认证+MAC白名单,确保只有授权设备能接入网络。结合RADIUS服务器,从源头杜绝非法设备入网可能。

4.网络隔离与分段

利用VLAN划分不同业务区域(如办公区、访客区、IoT设备区),限制广播域范围,使ARP欺骗无法跨区传播。

5.提升安全意识

最终防线永远是人。不随意点击不明链接、不下载来源不明文件、优先使用HTTPS、定期更新系统补丁——这些看似老生常谈的习惯,恰恰是抵御初级攻击的铜墙铁壁。


技术没有善恶,关键在于使用者的意图。我希望这篇复盘能帮助更多人看清网络世界的“暗流”,并在日常工作中多一分警惕、少一分侥幸。毕竟,真正的安全,始于认知,成于实践。

http://www.jsqmd.com/news/1181044/

相关文章:

  • 2026年7月百达翡丽国内官方热线与售后收费标准 - 百达翡丽官方服务中心
  • 3步解锁B站缓存视频:m4s转MP4工具完全指南
  • Cursor不兼容TypeScript 5.4?资深架构师披露4层格式化链路调试法——从AST解析到prettier-ignore生效原理
  • 2026厦门包包回收哪家价高?门店行情真实测评盘点 - 奢品小当家
  • HS2-HF_Patch:5分钟解锁Honey Select 2完整游戏体验的终极指南
  • 郑州减重训练营怎么选?实测告诉你科学减脂不反弹 不节食训练营怎么选 本土标杆胖胖健身 - 伏羲智搜科GEO
  • WeMod高级功能解锁完全指南:告别限制,尽享专业游戏修改体验
  • 物联大师:终极免费物联网平台快速入门指南
  • 2026北京海淀东城西城钻石钻戒回收实测|5家线下靠谱门店真实探店体验推荐 - 全城热点
  • 软件架构评估方法论:ATAM深度解读
  • 煤运输廊道透镜建筑升级·AI动态重构智能预警数字孪生
  • STM32F437ZG纽扣电池供电优化方案
  • 如何让游戏辅助工具Wand获得完整Pro功能?这个开源增强器给你答案
  • 帝舵中国官方售后服务网点|官网认证电话及地址权威公示(2026年7月最新) - 亨得利售后服务官网
  • 你的AI SaaS还在手动部署?揭秘头部厂商已落地的CI/CD for LLM Pipeline(含K8s+LangChain+RBAC自动化脚本包)
  • 北京宝珀中国区官方售后服务网点|全新维修地址及客服电话权威公示(2026年7月最新) - 亨得利售后服务官网
  • 树状数组的索引设计:lowbit 不是魔法,是二进制规律的直接推论
  • Wand-Enhancer终极指南:免费解锁完整游戏修改功能,告别时间限制
  • Copilot补全准确率提升300%的秘密:从Prompt工程到上下文锚点的5层调优法
  • 亲身到店探访合肥亨得利官方名表服务中心|全部地址与售后服务电话(2026年7月更新) - 亨得利官方
  • 常用STL 容器,空间配置器的使用和底层原理
  • 工业信号隔离与抗干扰:FOD4216光耦与PIC18LF45K42实战
  • Wand-Enhancer:解锁Wand专业版功能的终极增强工具
  • 2026宁波象山县优质公司注册代办服务机构甄选推荐手册 - 品牌优企推荐
  • 终极指南:如何免费解锁Wand专业版功能实现完整游戏修改体验
  • 北京合规名表回收机构排名!合扬持证连锁门店地址规范回收流程全解析 - 全国奢侈品回收中心
  • 2026年西安正规黄金回收实体店地址及大额黄金现场转账指南 - 名奢变现站
  • 从相机标定到YOLOv5单目测距:原理推导与工程实践全解析
  • 免费解锁Wand专业版功能:开源增强工具完整指南
  • SystemVerilog Interface 对比传统连接:5大优势与3个典型应用场景分析