ARP 欺骗（ARP Spoofing）的原理和危害是什么？

知识点图片

ARP 欺骗（ARP Spoofing），又称 ARP 毒化（ARP Poisoning），是一种针对局域网（LAN）的中间人攻击技术。

为了让你透彻理解，我们分三个部分来讲：基础背景、攻击原理、危害及后果。

在局域网中，设备之间通信虽然我们用的是 IP 地址（如 192.168.1.5），但底层的网卡和交换机其实不认识 IP，它们只认 MAC 地址（物理地址，如 00:11:22:33:44:55）。

ARP（地址解析协议） 的作用就是充当“翻译官”：它把 IP 地址 转换成对应的 MAC 地址。

正常流程：
1. 电脑 A 想联系电脑 B（IP 为 1.2）。
2. 电脑 A 在局域网大喊（广播）：“谁是 1.2？请告诉我你的 MAC 地址！”
3. 电脑 B 听到后回复：“我是 1.2，我的 MAC 地址是 BB:BB...。”
4. 电脑 A 把这个对应关系记在自己的小本本上（ARP 缓存表），下次直接用。

ARP 协议设计于几十年前，当时的网络环境很单纯，因此它有一个巨大的安全缺陷：盲目信任。

攻击过程（中间人攻击）：

假设局域网里有三台设备：

攻击步骤：

欺骗受害者： 攻击者不断给受害者发送伪造的 ARP 回复包，说：“我是网关（192.168.1.1），我的 MAC 地址是 CC:CC...（攻击者的 MAC）”。
- 结果： 受害者信以为真，把发给互联网的数据包都发给了攻击者。
欺骗网关： 攻击者同时给网关发送伪造的 ARP 回复包，说：“我是受害者（192.168.1.10），我的 MAC 地址是 CC:CC...（攻击者的 MAC）”。
- 结果： 网关信以为真，把互联网回来的数据包都发给了攻击者。

此时，攻击者成功成为了“中间人”。所有受害者和互联网之间的流量，都会先经过攻击者的电脑，再由攻击者转发出去。

一旦 ARP 欺骗成功，攻击者就掌握了受害者的网络命脉，主要危害包括：

这是最常见的目的。因为流量经过攻击者，他可以使用抓包工具（如 Wireshark）查看你的所有通信内容。

攻击者不仅能“看”，还能“改”。

攻击者可以只“截获”不“转发”。

攻击者可以窃取你的 Session ID 或 Cookie，从而在不需要密码的情况下，直接登录你的社交网络、邮箱或后台管理系统。

虽然 ARP 欺骗很危险，但防御手段也很成熟：

双向绑定（静态 ARP）：
- 在电脑上（通过命令 arp -s）和路由器上，手动绑定 IP 和 MAC 地址的对应关系。这样设备就不会听信伪造的广播了。这是最有效但最麻烦的方法。
开启 ARP 防火墙：
- 很多杀毒软件（如火绒、360等）自带 ARP 防火墙，能检测并拦截局域网内的 ARP 攻击包。
交换机安全特性（企业级）：
- 在企业网络中，开启 DAI (Dynamic ARP Inspection) 或 DHCP Snooping 功能，交换机会自动丢弃不合法的 ARP 包。
使用 VPN：
- VPN 会在你的设备和远程服务器之间建立加密隧道。即使局域网内有 ARP 欺骗，攻击者截获到的也全是加密乱码，无法解密。
使用 HTTPS：
- 虽然不能防止断网，但全程 HTTPS 加密能极大增加攻击者窃取密码的难度。

总结：
ARP 欺骗利用了局域网协议“盲目信任”的弱点，让攻击者通过伪造身份成为“中间人”，从而实现窃听、篡改或断网。在公共 Wi-Fi 环境下尤其要注意防范。

播面