技巧分享：动态ARP检测防止中间人攻击(1)

现在针对ARP的攻击，可以说是层次不穷。虽然相关的措施也有不少，但是道高一尺、魔高一丈，防不胜防。针对这种情况，在思科的网络产品中，设计了动态ARP检测的技术。虽然这个技术不能够从根本上解决ARP带来的安全隐患，大但是对于遏制其危害，特别是中间人攻击方面，仍然有独到的表现。

一、中间人攻击案例模拟

如上图，是一个简单的网络架构图。有三台终端同时连接到同一个工作组交换机中。(实际情况可能会有更多的终端，为了简单起见，笔者以三个终端为例)。此时如果主机A需要访问主机B(第一次访问时只知道对方的IP地址而不知道MAC地址)，就需要先发送一个ARP请求。向各台主机询问，IP地址为多少的主机其MAC地址为多少，并会附上主机A的MAC地址。

这个ARP请求会以广播的形式在网络中传播，即网络中的每一台客户端都将受到这个信息。正常情况下，除了B以外的不相关的主机都会丢弃这个数据包。而只有主机B接收到这个请求后，才会进行响应。主机B首先会在自己的ARP缓存中创建主机A IP地址与MAC地址的相关记录(如果已经存在这个IP地址，则会进行更新)，并向主机A发送ARP响应。此时的ARP响应是一个单播数据包，即直接发送给主机A，而不是以广播的形式发送。

以上是一个比较正常的ARP处理流程。但是在这个处理的过程中，如果没有采取恰当的安全措施，则很可能会引发中间人攻击。如上图所示，如果终端设备C在收到主机A发送的ARP请求之后，没有抛弃这个数据包，而是发送了伪造的ARP响应(将自己的MAC地址替代主机B的MAC地址)，其就可以发起中间人攻击。在接收到主机C的ARP响应之后，主机A将不能够拥有主机B的正确MAC地址与IP地址。

对于主机A来说，它就会错误的认为主机C就是其要发送数据的对象。从而将数据直接发送给主机C。此时对于主机A和主机B之间的任何通信，就会被发送到主机C上。然后主机C在获取相关的内容之后，可能进行流量的重定向。在这个过程中，主机C就被称为中间人。这个过程就被称为中间人攻击。

服务器租用/服务器托管中国五强！虚拟主机域名注册顶级提供商！15年品质保障！--亿恩科技[ENKJ.COM]