ARP Spoofing (ARP欺騙)

ARP Spoofing 攻擊的根本原理是因為Windows電腦中維護著一個 ARP 快取記憶體（讓你可以使用 arp 命令來查看你自己的ARP快取記憶體），並且這個ARP 快取記憶體是隨著電腦不斷的發出ARP請求和收到ARP回應而不斷的更新的， ARP 快取記憶體的目的是把機器的IP位址和MAC位址相互映射，使得IP資料包在乙太網內得順利而正確找到目的MAC位址，然後正確無誤的傳送。 如果你可以藉由發出標準的ARP請求或ARP回應來擾亂或竄改某電腦或路由器內正常的ARP表，而導致該電腦(或路由器)發出的資料包誤傳目的地，或使OSI的第二層乙太網和第三層無法連接，進而癱瘓網路，我們就稱你使用了ARP欺騙攻擊。
舉例說明： 現在有三部機器分別是機器A：IP1/MAC1、機器B：IP2/MAC2、機器C：IP3/MAC3 。現在機器B上的用戶是位駭客企圖干擾機器A或是監視SNIFFER機器A與C之間的通訊，首先他向機器A發出一個 ARP Reply，其中的目的IP位址為IP1，目的(Destination) MAC 位址為MAC1，而源(Source)IP地址為IP3，源MAC地址為 MAC2 。好了， 現在機器A更新了他的 ARP快取記憶體，並相信了IP3地址的機器的MAC地址是 MAC2 。當機器A上的管理員發出一條FTP命令時---ftp IP3，資料包被送到了Switch，Switch查看資料包中的目的地址，發現MAC為 MAC2 ，於是，他把資料包發到了機器B上，因此成功攻擊機器A。現在如果不想影響A和C之間的通信該怎麼辦？僅是sniffer監視兩者之間的通訊，你可以同時欺騙他們雙方，使用 man-in-middle攻擊，便可以達到效果 。

總之本機在傳送資料包之前，會送出一個關於查詢目的IP位址的MAC乙太網廣播包。正常情況下，只有對應目的IP的主機會以一個自己的48位元MAC主機位址unicast包來做回應，並且將該IP與MAC位址對應更新本機內ARP快取記憶體，以節約不必要的ARP通信。如果有一個中毒的電腦或是網內合法授權進行非法活動的駭客，他們是對本地網路具有寫訪問許可權，極可能這樣一台機器就會發佈虛假的ARP請求或回應通訊，欺騙其他電腦或路由器將所有通信都轉向它自己，然後它就可以扮演某些機器，或對資料流程進行修改。這樣就造成arp欺騙攻擊，影響正常的主機通信。

ARP欺騙攻擊分類基本上可以分為刻意的特定目標攻擊，及因為中毒無意的攻擎。這二種的攻擊本意有所不同，
(一)通常是利用網路下載的工具、例如網路翦刀手netcut程式 然後惡意攻擊他人並將攻擊封包偽裝以駕禍於他人，其危害常是少數特定目標，但是由於攻擊者以Unicast 包方式傳送且善於偽裝，因此網路管理員極難找出問題所在，也由於此類型程式下載容易操作簡單，近期於網路中快速擴散，造成網路管理人員極大負擔，也由於目前尚無完整機制快速偵測出此類型規則來源，因此常會使管理人員處理此類問題時疲於奔命，處理耗費時間同時效果不彰，過程中也讓網路管理人員專業能力受到極大的質疑。
(二)通常是使用者中毒後中毒軟體發送ARP欺騙封包以誤導其他人將封包送往錯誤的路徑,導致變像的攻擊使閘道受害或某用戶的遭炴,其主要的目的是造成部份或整體網路的危害

位置解析協定（Address Resolution Protocol）在區域網路中極其重要，他是屬於區域網路同ㄧ子網段內部主機對主機的傳輸或主機與路由器之間傳輸重要的協定。如果局域網內是屬於中大型網路具有多個子網路，那麼防火牆/IPS入侵偵測設備通常被設置在核心路由交換器之後根本沒有機會接觸ARP封包，因此對ARP攻擊束手無策。即使局域網內只有一個網段，防火牆/IPS入侵偵測設備兼具路由器功能也僅能偵測部分ARP廣播包，且大部分的產品如使用作業系統(如Linux)的TCP/IP Socket就難以偵測ARP數據包，因此目前的防火牆/IPS入侵偵測設備幾乎不具有即時防止「欺騙位置解析協定攻擊（ARP Spoofing Attack）」的功能，就算有也僅止於出口控制無法由網路底層第一時間阻隔此類攻擊。 [1]


解決方式之ㄧ：ARP Inspection(ARP 檢查)[2]
CISCO Dynamic ARP Inspection （DAI）在交換機上提供IP地址和MAC地址的綁定， 並動態建立綁定關系。DAI 以 DHCP Snooping綁定表為基礎，對于沒有使用DHCP的服務器個別機器可以采用靜態添加ARP access-list實現。DAI配置針對VLAN，對于同一VLAN內的接口可以開啟DAI也可以關閉。通過DAI可以控制某個端口的ARP請求報文數量。所以，我認為，通過這樣的配置，可以解決ARP攻擊問題，更好的提高網絡安全性和穩定性。


References:
[1]http://forum.icst.org.tw/phpbb/viewtopic.php?t=12725
[2]http://big5.xueeu.com/html/information-3/5586tw.html