ARP通过广播ARP请求来获取目标IP地址对应的MAC地址，查询目标设备的 MAC 地址，以保证通信的进行。基于 ARP 协议的这一工作特性，黑客向对方计算机不断发送有欺诈性质的 ARP 数据包，数据包内包含有与当前设备重复的 Mac 地址，使对方在回应报文时，由于简单的地址重复错误而导致不能进行正常的网络通信。

一，arp攻击的危害

1，信息窃取与隐私泄露

arp攻击还为信息窃取和隐私泄露打开了大门。攻击者通过伪造arp响应包，将用户的网络流量引向自己，从而能够轻易地获取用户传输的数据。这包括用户的登录密码、账号信息等敏感数据。比如，用户在进行网上银行操作时，攻击者可以窃取其账号和密码，进而非法转移用户的资金，造成经济损失。或者获取用户的社交账号，窃取个人隐私信息并进行非法传播，给用户带来极大的困扰和风险。此外，企业的商业机密、科研机构的研究数据等重要信息也可能在arp攻击中被窃取，导致不可估量的损失。

2，网络掉线与通信中断

arp攻击会给局域网带来严重的网络稳定性问题。当攻击者发送大量伪造的arp响应包时，局域网内的用户可能会频繁遭遇断网的情况。网络连接时断时续，严重影响正常的工作和生活。例如，在企业办公环境中，正在进行的重要文件传输可能会突然中断，导致工作进度延误；学校的在线教学可能会突然卡顿，影响教学质量。更严重的是，arp攻击可能导致整个局域网的瘫痪，使得所有用户都无法正常上网，造成巨大的损失。

二，arp攻击的常见手段

3. arp拒绝服务

攻击者通过发送大量的ARP请求或响应，使网络设备的ARP表项迅速被填满。一旦arp表项被耗尽，正常的arp请求就无法得到响应。这意味着网络中的设备无法获取到正确的MAC地址来发送数据，从而阻断了网络通信。

2. arp投毒

攻击者会大量发送伪造的ARP请求和响应。通过这种方式，他们使网络中的arp表项变得混乱不堪。原本正常的IP地址与MAC地址的对应关系被篡改，导致网络中的设备无法准确地找到目标设备的MAC地址。

这可能引发一系列问题，如数据无法正确传输、网络通信中断或延迟增加。由于arp表项的混乱，网络中的设备在发送数据时可能会出现错误的目标，从而进一步加剧网络的混乱，影响整个局域网的正常运行。

1. arp欺骗

攻击者利用arp协议的漏洞，精心构造并发送伪造的arp响应包。在这些响应包中，他们将自己的MAC地址与目标设备（如网关或其他主机）的IP地址关联起来。当其他设备接收到这样的伪造响应包时，会误以为攻击者的MAC地址就是目标设备的真实MAC地址，并将其存储在本地的ARP缓存中。当目标主机想要与网关进行通信时，由于arp缓存中的错误信息，它会将数据发送给攻击者。攻击者因此能够截获这些网络流量，并可能篡改其中的内容，获取敏感信息，如用户的账号密码、通信数据等。这种方式隐蔽性较高，用户通常难以察觉，直到出现明显的通信异常。

三，ARP 攻击的监测与发现

1， 动态监测

（1）主动监测工具

ARP 防火墙工作原理：主动发送探测包来验证 ARP 表项的准确性，同时对收到的 ARP 响应进行严格的合法性检查。

缺点：可能会增加一定的网络负担，对系统资源有一定的消耗。

优点：能够主动发现并阻止 ARP 攻击，检测精度较高。

（2）被动监测工具

ARP Guard 工作原理：通过对网络中的 ARP 数据包进行分析和过滤，检测并阻止非法的 ARP 操作。

缺点：配置相对复杂，可能会误判一些正常的 ARP 通信。

优点：能够及时阻止一些潜在的 ARP 攻击，提供实时的防护。

ARP watch 工作原理：ARP watch 会持续监控网络中的 ARP 通信，记录 ARP 表的变化。当发现新的 ARP 条目或者 ARP 表项发生更改时，会生成相应的日志或通知。

缺点：可能会错过一些短暂的 ARP 攻击行为，对于复杂的攻击场景可能检测能力有限。

优点：能够实时监测 ARP 表的变化，无需主动发送探测包，对网络性能影响较小。

2，手动监测

网络管理员可以通过以下命令查看主机或路由器的 ARP 表，以监测是否存在 ARP 攻击的迹象：

在 Windows 系统中，按下“Win + R”键，输入“cmd”打开命令提示符，然后输入“arp -a”命令，可以查看当前 ARP 缓存中的 IP 地址与 MAC 地址的对应关系。如果发现存在异常的 MAC 地址与已知的合法设备不匹配，或者存在多个 IP 地址对应同一个 MAC 地址的情况，可能意味着存在 ARP 攻击。

在 Linux 系统中，使用“arp”命令也可以达到类似的效果。通过定期执行这些命令，并对比不同时间段的结果，能够初步判断网络中是否存在 ARP 异常。

四，ARP攻击的防范措施

1，防火墙的ARP防护

许多防火墙都具备ARP防攻击功能。在弹出的窗口中点击【局域网防护】，然后开启【ARP主动防御】功能。当开启ARP防护后，如果检测到ARP攻击，可通过查看防火墙的日志或相关记录来追踪异常设备。确定异常设备后，及时关闭相关端口，防止ARP病毒的进一步传播。同时，对异常设备进行病毒查杀，局域网内的其他关联设备也应进行病毒查杀，以彻底消除ARP攻击的威胁。

2，动态ARP监测（DAI）

在交换机上开启DAI的步骤通常如下：首先部署DHCP服务，然后启用DHCP Snooping功能，接着配置DAI。DAI的作用在于检查非信任端口的ARP请求和应答，确保其合法性，从而防止ARP欺骗。设置可信和不可信接口时，交换机连接合法DHCP服务器和交换机互联的接口通常设置为可信接口，而连接PC等终端设备的接口一般设置为不可信接口。可信接口接收到的ARP报文不进行严格检查，而不可信接口的ARP报文会与DHCP Snooping绑定表中的信息进行对比，只有合法的才会被转发。

3，静态绑定IP地址和MAC地址

静态绑定IP地址和MAC地址是一种常见的ARP攻击防范措施。以下是其操作方法：

对于Windows系统，打开命令提示符，输入“ipconfig /all”获取本机的IP地址和MAC地址。然后输入“arp -s 目标IP地址 目标MAC地址”进行绑定。对于路由器，可通过其管理界面，在ARP映射表中添加IP和MAC地址的对应关系。然而，这种方法存在一定局限性。如果是通过DHCP自动获取的地址，租约到期后绑定会失效，需要重新绑定。此外，对于大规模的网络，手动逐一绑定操作繁琐，扩展性较差。

在网络安全领域中ARP攻击是对网络安全有着比较大的威胁，其隐蔽性和破坏性不容小觑。我们一定要提前做好安全防护才能避免遭受攻击。