接下来我们通过图来深入了解ARP攻击是如何实现的。

二、ARP攻击原理

每当局域网上出现ARP攻击时，就意味着网络中存在“中间人”。我们可以用下图来解释一下。

在该局域网中，交换机SW1上连接有三台主机PC1、PC2、PC3，分别对应三个接口port1/2/3。假设PC3安装了ARP攻击软件或者感染了ARP病毒，成为了该网络的黑客。接下来，PC3是如何被攻击的呢？话不多说，我们来回顾一下PC1和PC2是如何通信的。

PC1需要与PC2通信，通过ARP请求包查询PC2的MAC地址。由于采用广播模式，交换机将ARP请求报文从接口P1广播到P2和PC3。 （注：当交换机收到广播/组播/未知帧时，其他接口将被淹没）

PC2根据查询信息返回ARP单播响应包；此时，PC3作为攻击者，不会返回ARP包，而是处于“监听”状态，为后续攻击做准备。

PC1和PC2根据ARP问答将各自的ARP映射信息（IP-MAC）存储在本地ARP缓存表中。

对于上图，我们需要记住这些关键的事情（敲黑板！）：

主机通信需要查找ARP表，而交换机通信需要查找CAM表（路由器查找Route表）。

注：ARP表：ip-mac CAM表：mac-port（路由表：route-port）

在同一局域网内，攻击者可以根据主机的ARP广播请求监听主机的IP和MAC信息。

注意：这是“被动监控”，与后面将要讨论的“主动扫描”在原理上是不同的。我们先在这里埋个坑吧）

接下来是重点，我们来看看PC3（黑客）是如何发起ARP攻击的=

一般情况下，如果收到的ARP请求不是发给自己的，则直接丢弃；但这里PC3（黑客）监听后发起了ARP响应包：我是PC2（IP2-MAC3）。

从拓扑中可以看出，PC3显然是MAC3对应的IP3。很明显，这是一种ARP欺骗行为。同时，PC2的正常ARP响应报文也被传递给PC1。接下来看看PC1是如何处理的：

PC1收到两个ARP响应报文，内容如下：

我是PC2，我的IP地址是IP2，我的MAC地址是MAC2；

我是PC2，我的IP地址是IP2，我的MAC地址是MAC3；

PC1一头雾水：这是怎么回事？还有这个操作？没关系，我选最新的！ （最后到的先）

在这里，我想和大家分享一下网络协议中的各个表是如何处理缓存信息的：

那么问题来了，上面两个ARP响应报文哪个先到达，哪个后到达呢？

作为初学者，您可能仍在为这个幼稚的问题而苦苦挣扎；作为黑客，只要不断地发出ARP欺骗数据包，就一定能够覆盖掉正常的ARP响应数据包。一款强大的ARP嗅探/渗透工具，可以在短时间内进行高并发的网络扫描（例如每秒数千或数百个数据包），并且可以连续向外界发送欺骗数据包。

无论如何，当PC1、PC2这样的“新手”用户遇到PC3（黑客）时，最终的结果一定是这样的：

新手VS黑客，这是一场显而易见的较量。 PC1最终记录了一个错误的ARP映射：IP2-MAC3。 PC1 得到错误的信息。接下来会发生什么？ （我们以PC1 ping PC2为例）

这样，PC1本应发送给PC2的数据包就落入了PC3（黑客）手中，从而完成了一次完整的ARP攻击。反之，如果PC2想要向PC1发送数据包，PC3仍然可以用同样的ARP欺骗来实施攻击，结果如下图（PC3同时欺骗了PC1和PC2）。

此时，PC1和PC2之间的通信数据流被PC3拦截，形成典型的“中间人攻击”。那么，一旦被攻击拦截，攻击者能做什么，普通用户会遭受哪些损失呢？以下是一些常见的例子=

由于攻击者控制了数据流，因此很容易直接断开通信，即“断线攻击”。例如，从PC1发送到PC2的数据可以被PC3直接丢弃，如果这里的PC2是出口路由器（无线路由器），则意味着PC1无法直接连接互联网。

‘断网攻击’显然很容易被察觉，也更‘残酷’，所以就有了更常见的应用——‘限速’。例如，在宿舍里上网突然变得很慢，或者在网吧上网时突然打不开网页，如果网络没有安全防护，那么很有可能出现“网络安全问题”。内部间谍”。

其实，无论是“断线攻击”还是“限速”，总体情况还是比较“仁慈”的，因为这里流量中的核心数据还没有被“提取”出来。如果攻击者是真正的黑客，他的目的不会那么无聊，因为内网流量对于黑客来说没有多大价值，而只有‘用户隐私’，比如常见网站的登录账号和密码，这些才是最有价值的。

问：遭受ARP攻击后，哪些账户可能被盗？

答：任何基于明文传输的应用程序都可能被盗。例如，如果某个网站不是HTTPS而是基于HTTP明文传输，那么当您登录该网站时，您的密码就会被窃取。除了http（Web应用）之外，还有常见的应用如telnet、ftp、pop3/smtp/imap（邮箱）等，这些都容易泄露密码。

三、常见ARP渗透工具与底层原理分析

基于ARP欺骗原理设计的渗透/攻击工具有很多，它们最终能实现的功能各不相同。以下是一些示例：

无毒无害型仅具有ARP扫描功能，用于发现内网主机；比如Metasploit中的arping/arpscan相关模块；

ARP扫描+流量控制（限速或限制哪些网站和应用程序可以访问）；比如Windows下的P2P终结者；

ARP扫描+账号盗用（网站、邮箱、各种）；最强大的是Windows下的Cain，当然还有跨平台的Ettercap（需要配合其他工具）；

当然，如果攻击者足够强大，他也可以根据协议的底层原理编写自己的ARP工具。这里我使用wirehshark来还原真实网络中常见的ARP扫描和欺骗攻击（具体使用的软件这里暂时不展示，大家重点关注底层实现）。

在这张图中，Hacker（就是我……）连接到了一个WiFi网络，而这个10.1.20.0/24就是它所在的网段。当我第一次进入一个陌生的网络时，Hacker只知道自己的IP信息。例如，IP地址为10.1.20.253，网关地址为10.1.20.254。该LAN 上还有哪些其他设备？有多少个单位？地址分配是怎样的？黑客不知道，他们下一步应该做什么？我们要直接发起ARP攻击吗？

没必要这么着急。我们至少应该先了解网络，进行基本的扫描和检查。此时通过ARP工具扫描WiFi网络。具体数据包截图如下：

上面的ARP扫描流程大致如下=

其实，这是典型的“盲扫描”或“暴力扫描”：反正我不知道网络上有多少台主机，所以我会尝试询问整个网段。这就像老师在课堂上点名并读出每个学生的课桌号一样。任何举手的人都会在场；不举手的，将被视为逃课。

那么，在这个实际的网络中，到底是谁“举手了”呢？我们看一下用Wireshark抓包的情况。

在ARP响应信息中，除了IP地址和MAC信息之外，我们还可以看到相关的设备制造商信息，例如cisco、meizu、apple、xiaomi等，这实际上依赖于24位的OUI（组织唯一标识符） ）在MAC地址前面。 ）来识别。

Wireshark或者扫描仪可以帮助我们将OUI转换为对应的厂家（有些扫描仪是基于Netbios协议的，也可以找到电脑的主机名），所以扫描后可以得到下图=

通过扫描，我们已经知道了整个网络的主机信息。比如20.254对应cisco，应该是路由器，20.248对应apple，就是苹果手机，20.249对应xiaomi，就是小米手机，等等……

接下来，如何进行ARP欺骗攻击呢？这里最重要的数据包被拦截=

当然，ARP欺骗还有另一种方式：黑客告诉大家他就是网关。因为其他主机访问互联网的唯一途径是通过网关（出口路由器/无线路由器），这样一来，用户数据流也可能被拦截。下面是另一个网络的实现过程=

黑客欺骗主机鸿海并告诉它：我是网关（10.1.1.254）

黑客欺骗主机Apple并告诉它：我是网关（10.1.1.254）

四、ARP攻击总结

ARP缓存表基于“后到先”的原则，IP和MAC之间的映射信息可以被覆盖；

ARP 攻击基于伪造的ARP 响应报文。黑客构造“错位”的IP和MAC映射，覆盖主机的ARP表（也称为“ARP中毒”），最终拦截用户的数据流；

遭遇ARP攻击，帐号和密码可能被盗（如果通信协议未加密）；