路由网假设局域网内有三台计算机:A、B和C。其中A的IP地址为192.168.1.100,MAC地址为1A-2A-3A-4A-5A-6A;B的IP地址为192.168.1.200,MAC地址为1B-2B-3B-4B-5B-6B;C的IP地址为192.168.1.250,MAC地址为1C-2C-3C-4C-5C-6C。
ARP正常工作的过程
当A需要与B通信时,它会发送一个ARP广播数据包(即向192.168.1.0至192.168.1.255的所有设备发送),以获取B的MAC地址。该数据包中包含了A的源IP地址、源MAC地址以及B的目标IP地址。B接收到此广播后,若发现目标IP与其自身匹配,则会通过单播方式向A回复,其中包含其MAC地址信息。
A在收到B的回复后,便能够确定B的MAC地址并开始直接向B传输数据。与此同时,A还会创建一个ARP映射表,将B的IP地址192.168.1.200与对应的MAC地址1B-2B-3B-4B-5B-6B关联起来。同样地,B也会生成一张类似的ARP映射表,记录下A的相关信息。此后,若A再次需要与B通信,它会首先查阅自身的ARP表来获取B的MAC地址。
ARP欺骗攻击的原理
假设计算机C作为攻击者,当A尝试与B通信时,A会发出一个ARP广播请求,试图找到拥有IP地址192.168.1.200的设备的MAC地址。此时,C截获了这个请求,并向A发送一个伪造的ARP响应包,声称IP地址192.168.1.200所对应的MAC地址实际上是1C-2C-3C-4C-5C-6C(即C本身的MAC地址)或者是另一个完全不存在的MAC地址如1D-2D-3D-4D-5D-6D。一旦A接受了这个伪造的信息,它就会误以为B的MAC地址是错误的,从而向错误的方向发送数据,导致A与B之间无法正常通信。
为何ARP攻击会导致网络中断
当局域网中的某一设备执行ARP欺骗操作,并且针对的是网关的MAC地址时,就会发生网络断线的情况。例如,在局域网中,计算机A想要访问外部网络,必须先将数据包发送给网关。为了实现这一点,A首先需要获取网关的MAC地址,这通常通过发送ARP广播请求来完成。然而,如果某台机器感染了ARP病毒,它可能会向A返回一个虚假的网关MAC地址,这样A发送出去的所有上网数据包都将被错误地导向到不存在的目的地,进而造成无法连接互联网的现象,即所谓的“掉网”。
