生活在网络时代里，我们的生活里多了黑客这样一群神秘人物。传说中他们放荡不羁，崇尚自我并行事诡异，搅动着整个网络命脉，使其生机无限。然而现实中，他们超然的生活于我们周围。假想在一间忙碌的Office中，每个员工在自己狭窄的工作空间中埋头于自己手头的事物；能听到的声音是手指在键盘挥舞的呵咔声和此起彼伏的电话铃，有谁有注意到那狭窄的个人空间里，思维的放任超乎寻常。飞快的手指间，各种指令和运作的程序队列般的游行着。表面上似乎一切都正常，然而，或许那里正进行着激烈的电子对抗……。

SANS公布2001来自于内部入侵攻击虽然只占30%左右，然而产生的危害也最大，因此局域网络的入侵和渗透更具有实足的硝烟气息。利用二层链路上ARP协议漏洞而产生的各种攻击方式无疑是局部网络战争最精妙的特技。

一、 基础知识预备

精巧程序的后面藏匿着简单的原理和聪颖的智慧。为了顺利阐述ARP本身的协议漏洞以及后面将要阐述的各种ARP攻击思维(同时，我必须顾及那些初次接触网络的朋友，以致不挫伤他们对网络攻击防御的兴趣)，我们将粗浅的概览ARP协议和相关的网络链路层的一些概念。

ARP(Address Resolution Protocol)简称地址解析协议，主要用于把以太网卡硬件地址和IP地址捆绑起来。当主机之间发生通信要求，则ARP协议通过广播请求/单播回应方式建立主机间通信连接。大家熟悉的IP地址采用32位长度，在以太局域网中网卡设备地址是48位长度(也称为MAC地址)。一张称为ARP缓存的表单用于维护MAC地址和其所对应的IP地址的相关性。ARP则提供用于在网络设备间进行地址转换和创造MAC-IP相关性的协议规则。

网络链路层的建立通信关系的准则：网络主机A欲与网络主机C建立通信连接，主机A在网络中广播ARP的请求数据包(REQUEST)，如图一：

主机A欲与IP地址为192.168.1.3的目标主机通信，则发送的广播的数据包中包含本身的IP地址、网卡的MAC地址、目标主机的IP地址以及广播MAC地址(FF-FF-FF-FF-FF-FF)。

(注：Mac地址是媒体接入层上使用的地址，直观的概念就是网卡的物理地址，Mac地址一般都采用6字节48bit。)

主机C接收到ARP的REQUEST广播包，发现目标地址中IP地址与自身IP地址一致，接收该数据请求，并作出响应。

从图二中，可以看到主机C发现主A的ARP请求符合要求，在自身ARP缓存表中添加主机A的IP-MAC绑定映像记录，并发送单播ARP回应数据包(RELAY)给主机A。主机A接收到回应数据包，更新其ARP缓存表记录，绑定主机C的IP-MAC映像记录。至此，二层通信关系建立完毕。而网络中其他主机则忽略此请求包。

这种关系可以类似于情景会话↓

主机A：嗨，谁主机的IP地址是192.168.1.3?

主机B：嗨，我主机地址是192.168.1.3,我的门牌号是00-50-56-C0-08，记得来找我啊。

其他主机：NO，这不是我的IP地址。

从原理分析发觉ARP本身是无类协议，本身不能携带任何状态信息。因此ARP协议不能进行任何认证，这样就导致协议本身具有安全威胁性。造成这种安全威胁的历史原因在于：早先的网络创造者们是在一个平和自由的环境中设计ARP协议，因而安全问题在当时几乎是琐碎的事情。然而网络集聚膨胀，破坏性攻击和入侵事件的增加，使得ARP协议脆弱不堪。

了解ARP工作原理之后，可以得出：大部分网络系统中的ARP缓存列表根据所接收的ARP REPLAY数据包动态增加或更新缓存表中IP-MAC映射记录。根据这样一条简单规则，我们将看到各种绚丽的入侵和攻击手法。