ARP欺騙是一種技術， 每一個安全顧問會嚇跑他們的客戶與作為一種手段來證明這一點沒有什么內部的網絡是安全的從竊聽。 因此， 它是什么？ ARP欺騙， 也稱為ARP協議中毒， 是一種技術， 用來攻擊一個乙太網路。 它允許攻擊者嗅探數據幀在一個局域網（ LAN ） ， 修改交通， 或停止的交通完全。 一些值得一提的在這里從一開始， 這是沒有新的， ARP欺騙是人所共知和理解， 在安全共同體， 這種認識已導致在技術， 正在開發， 以對付攻擊。 什么是新的， 不過， 是惡意軟體的作者看到了潛力， 這次襲擊和正在開始使用它。

它是什么？

首先什么是ARP協議， 它是地址解析協議（ ARP ） ， 它是一個標準的方式找到一個設備的硬件地址時， 只有網絡地址是眾所周知的。 這是不是一個僅限IP或以太網的唯一協議， 它可以用于許多其他的環境， 然而， 由于普遍存在的IP和以太網的環境， 它主要是用來翻譯IP地址以太網MAC地址。 你可以找到一個更詳細的說明整個議定書在這里。

該技術涉及發送假的或'欺騙性'的ARP訊息給以太網LAN 。 目的是有設備在網絡上副攻擊者的MAC地址與IP地址的另一個主機在網絡上， 轉移交通為目標， 攻擊者的機器。 在許多情況下， 攻擊者將目標特定服務或一塊網絡等基礎設施建設作為一個默認網關或代理服務器。 如果成功的話， 任何交通的意思為有針對性的IP地址結束了在攻擊者的主機而不是。 然后， 攻擊者選擇前進的交通， 以實際主機， 錄得的數據截獲或可能修改它。 ARP欺騙也可用于一個有效的拒絕服務攻擊的關聯， 不存在的MAC地址與目標IP地址。

大多數人看到的風險由ARP欺騙作為其中的內幕試圖嗅出登錄的細節， 或攔截網絡流量超過SSL的。 但是， 一些正在開始抬頭丑陋的小頭是惡意軟件的使用ARP欺騙作為一種手段來注入代碼到網站流量和妥協的用戶的登錄信息。

惡意軟件

在今年早些時候尼爾木匠在日志中約一事件， 他參與了與那里的一塊惡意軟件是使用ARP欺騙對網絡的客戶進行攔截和修改Web交通插入一個惡意的iframe到每個網頁訪問。 在這方面， 例如惡意軟件將直接受害人的網頁， 利用ms07 - 017 ， 更好地稱為動畫cusor的脆弱性。 現在， 這是不是第一次了ARP欺騙一直使用的惡意軟件， 例如w32/snow.a用它來試圖拒絕服務攻擊在2006年年初。 最近， 在2007年10月， 中國互聯網安全應急反應小組（ cisrt ）報告說， 他們懷疑一個類似的攻擊已被用來妥協的用戶會話， 以他們的網站。

大約同一時候， 由于原本的博客張貼由Neil木匠， 視聽公司說， 一些所謂的w32.arpiframe ， 以簽名數據庫。 這一點的惡意軟件是否只是描述的是什么， 在博客， 和它幾乎一樣， 一塊惡意軟件可負責為打擊cisrt實際攻擊的方法是相同的， 但它在條款的URL注入內部的IFRAME是不同的利用和使用作出妥協， 用戶系統， 這意味著有不同的變種浮動約目前正在更新和維持， 以避免檢測的反病毒軟件。

的可能性， 一個成功的ARP欺騙攻擊是顯著的， 其使用的注射液是有很大的潛力， 為進一步的襲擊。 舉例來說， 您不僅可以注入任何HTML你喜歡到任何網頁的用戶下載， 但是您可能感染任何可執行用戶的副本或下載網絡。 巴納杰克顯示， 整齊的伎倆與妥協D - Link公司路由器使用的固件在eusecwest在2006年允許注射液改性可執行文件， 這種攻擊將提供一個理想的機制， 使這種風格的注入任何下載與潛在的嚴重結果。

然后當用于吸嗅天拿水無關是安全的在網絡上， 任何明確的文字登錄請求或會議令牌網絡發送的時機已經成熟竊取。 經典的男子在中東的攻擊可能會顧問警告SSL的會議是一種可能性， 因為我們都知道， 只有一小數量的用戶， 其實檢查SSL證書警告之前， 迫切的'是' ， 讓方面， 他們都條件檢查小鎖， 因此， 假如你曾經獲得之間的聯系， 他們和妥協的東道國所有ssl'd起來， 他們可能不會前往， 恕不另行通知。

然而， 這一切， 說有問題， ARP欺騙確有它的問題。 作為討論的， 它可以作為一個有效的拒絕服務， 如果一些餐廳了最終用戶往往會注意到它。 對大型網絡成功地企圖一ARP欺騙攻擊可能會造成很多交通的標題， 通過一個主機， 它很可能導致大量的退化的表現， 東道國。 這種風格的攻擊可能會有更多的成功， 一個規模較小的網絡環境。 在任何環境中與網絡交換設備的特點一樣， '港口安全'的地方， 在ARP欺騙攻擊是不可能工作的指示， 作為這些技術已經開發， 以幫助解決這個眾所周知的問題。

國防

有各種方法防范ARP欺騙攻擊。 第一件事很明顯， 這是特定的惡意軟件使用此風格的攻擊， 是要確保任何您下載掃描使用直至目前為止的反病毒掃描儀， 和該文件在您下載來自合法來源。

有沒有魔術子彈， 為ARP欺騙， 最好的防御是有靜態的ARP作品每一臺機器在網絡上。 可惜這是不實際的大多數企業環境。 因此， 作為一個結果， 有各種各樣的技術， 已經開發， 以協助撲滅這一點。 第一， 這些技術是一些所謂的'港口安全' 。 港口安全是一件是部分的固件上運行的網絡交換的基礎設施， 它的是它可以防止改變MAC地址表的切換， 這取決于執行的固件還可以包括能力鎖定交換機端口， 如果它認為太多的MAC地址就港口及如果MAC地址的頻繁更改。 這本身就是并不是萬靈丹所有， 但會妨礙一個ARP欺騙攻擊。

MAC地址克隆可以發現用一些所謂的rarp （反向ARP協議） ， 其中一系統將執行查找一個已知的MAC地址， 并要求相關的IP地址。 如果請求得到多個機器的反應， 為一個單一的MAC地址， 然后你可以有一個實例的Mac克隆， 可讓您偵測時， 一塊基礎設施一樣， 路由器或代理的對象是對網絡ARP欺騙。

有檢測技術， 如arpwatch監測網絡的ARP請求的地址， 并會生成警報當偵測到可疑的ARP流量， 并可能是最好的方法打擊ARP欺騙攻擊。 許多入侵檢測系統有相同的能力， 不過， 剛才有多少人實際執行入侵檢測系統對內部網絡？

結論

ARP欺騙是一種攻擊往往被低估， 但如果成功的話有深遠的后果。 ARP欺騙的惡意軟件是一個日益嚴重的問題和惡意軟體的作者已開始實施這項技術， 以竊取信息和注入惡意的交通。 所以不要期望看到的威脅消失。

有技術有哪些可以抵御ARP欺騙攻擊， 但是他們往往是有限的， 以高端網絡基礎設施， 使保護將會失去達成的大多數家庭用戶和可能許多小型企業， 所以說， 高端市場的最佳國防部是直至目前為止病毒掃描和個人防火墻， 并設立靜態的ARP項目為您的路由器/防火墻和其他關鍵資源。 對企業而言， 實施港口安全跨越網絡交換的基礎設施是一個關鍵的辯護， 隨著實施ARP協議的監測和檢測技術。

上面是電腦上網安全的一些基礎常識，學習了安全知識，幾乎可以讓你免費電腦中毒的煩擾。