了解ARP地址解析協議

我們先來簡單描述下什么是ARP，ARP是地址解析協議，ARP協議主要負責將局域網中的32位IP地址轉換為對應的48位物理地址，即網卡的MAC地址，比如IP地址為192.168.0.1計算機上網卡的MAC地址為00-03-0F-FD-1D-2B。整個轉換過程是一臺主機先向目標主機發送包含IP地址信息的廣播數據包，即ARP請求，然后目標主機向該主機發送一個含有IP地址和MAC地址數據包，通過協商這兩個主機就可以實現數據傳輸了。

ARP緩存表

在安裝了以太網網絡適配器（既網卡）的計算機中有一個或多個ARP緩存表，用于保存IP地址以及經過解析的MAC地址。在Windows中要查看或者修改ARP緩存中的信息，可以使用ARP命令來完成，比如在Windows XP的命令提示符窗口中鍵入“ARP -a”或“ARP -g”可以查看ARP緩存中的內容；鍵入“ARP -d IPaddress”表示刪除指定的IP地址項（IPaddress表示IP地址）。ARP命令的其他用法可以鍵入“ARP /？”查看幫助信息。

什么是ARP欺騙

將ip地址轉換為mac地址是ARP的工作，在網絡中發送虛假的ARP respones，就是ARP欺騙。

在現實中，我們都知道郵政機構的主要職責就是靠郵差來接收和收發包裹，我們只要填寫兩個正確信息：郵政編碼和收件人地址，就可以吧郵件送達目的地。這中間郵政編碼起到很大的作用，它的主要作用是把相應的地址信息用數字的形式統一編碼，比如：10080，就代表了北京市某個行政地區。

如果我們清楚的知道郵政系統是怎樣把包裹送達目的地，就很容易立即ARP協議的處理過程。ARP同樣處理需要兩個信息來完成數據傳輸，一個是IP地址，一個是MAC地址。所以當ARP傳輸數據包到目的主機時，就好像郵局送包裹到目的地，IP地址就是郵政編碼，MAC地址就是收件人地址。ARP的任務就是把已知的IP地址轉換成MAC地址，這中間有復雜的協商過程，這就好像郵局內部處理不同目的地的郵件一樣。我們都清楚郵局也有可能送錯郵件，原因很簡單，就是搞錯了收件人地址，或是搞錯了郵政編碼，而這些都是人為的；同理，ARP解析協議也會產生這樣的問題，只不過是通過計算機搞錯，比如，在獲得MAC地址時，有其他主機故意頂替目的主機的MAC地址，就造成了數據包不能準確到達。這就是所謂的ARP欺騙。

ARP欺騙會導致什么問題（這是本文的亮點）

假設，李四在北京，郵編是100080。朋友張三要給李四發一封信，當張三發現通訊錄里沒有李四的郵政編碼，他就把信件發到了北京市郵局，于是郵局發了個廣播給用戶，問誰的地址郵編是10080，結果李四發現自己的郵編是10080，李四就會舉手，說我是。這樣，信件就發到李四那兒了。同時李四的地址信息也被張三記在自己的通信錄里面了。

問題來了，如果在廣播的時候，有人假冒李四，發出應答……。那信件就發不到李四那兒，并且，張三的通信表里面記錄了錯誤的郵編和地址對應的信息。

李四收不到信件，就會給張三發信息詢問，張三又重新發，但是他通信錄里面的地址是錯誤的，所以，每次發信李四都收不到。如果這樣反復詢問，那必然的結果就是錯誤信件越發越多，郵件的錯誤郵件也越收越多，超過了正常的接收量，由于超負荷運轉，而最終導致郵局徹底癱瘓，郵差也相繼失業。可憐的李四，他始終沒有收到過張三的郵件。

這就好比是ARP欺騙造成的后果，錯誤信件就是錯誤數據包，當它越來越多時，就會導致網絡癱瘓，從而導致主機不能上網，影響企業的正常業務運轉。

通俗易懂的例子是不是更好的理解ARP欺騙攻擊原理了