ARP Spoofing攻擊原理分析
在局域網中，通過ARP協議來完成IP地址轉換為第二層物理地址（即MAC地址）的。
ARP協議對網路安全具有重要的意義。
通過偽造IP地址和MAC地址實現ARP欺騙，
能夠在網路中產生大量的ARP通信量使網路阻塞或者實現「man in the middle」
進行ARP重定向和嗅探攻擊。
用偽造源MAC地址發送ARP響應包，對ARP高速快取機制的攻擊。

每個主機都用一個ARP高速快取存放最近IP地址到MAC硬體地址之間的映射記錄。
MS Windows高速快取中的每一條記錄（條目）的生存時間一般為60秒，
起始時間從被創建時開始算起。

預設情況下，ARP從快取中讀取IP-MAC條目，快取中的IP-MAC條目是根據ARP響應包動態變化的。
因此，只要網路上有ARP響應包發送到本機，即會更新ARP高速快取中的IP-MAC條目。

攻擊者只要持續不斷的發出偽造的ARP響應包就能更改目標主機ARP快取中的IP-MAC條目，
造成網路中斷或中間人攻擊。

ARP協議並不只在發送了ARP請求才接收ARP應答。當電腦接收到ARP應答封包的時候，
就會對本地的ARP快取進行更新，將應答中的IP和 MAC地址存儲在ARP快取中。
因此，B向A發送一個自己偽造的ARP應答，
而這個應答中的資料為發送方IP地址是192.168.10.3
(C的IP地址），MAC地址是DD-DD-DD-DD-DD-DD
（C的MAC地址本來應該是CC-CC-CC-CC-CC-CC，這裡被偽造了）。
當A接收到B偽造的ARP應答，就會更新本地的ARP快取（A可不知道被偽造了）。

當攻擊源大量向局域網中發送虛假的ARP信息後，就會造成局域網中的機器ARP快取的崩潰。

Switch上同樣維護著一個動態的MAC快取，它一般是這樣，首先，交換機內部有一個對應的列表，
交換機的連接埠對應MAC地址表Port n <-> Mac記錄著每一個連接埠下面存在那些MAC地址，
這個表開始是空的，交換機從來往資料畫格中學習。因為MAC-PORT快取表是動態更新的，
那麼讓整個 Switch的連接埠表都改變，對Switch進行MAC地址欺騙的Flood，
不斷發送大量假MAC地址的封包，Switch就更新MAC-PORT快取，
如果能通過這樣的辦法把以前正常的MAC和Port對應的關係破壞了，
那麼Switch就會進行泛洪發送給每一個連接埠，讓Switch基本變成一個 HUB，
向所有的連接埠發送封包，要進行嗅探攻擊的目的一樣能夠達到。
也將造成Switch MAC-PORT快取的崩潰，如下下面交換機中日誌所示：

Internet 172.20.156.1       0   000b.cd85.a193 ARPA   Vlan256

Internet 172.20.156.5       0   000b.cd85.a193 ARPA   Vlan256

Internet 172.20.156.254         0   000b.cd85.a193 ARPA   Vlan256

Internet 172.20.156.53         0   000b.cd85.a193 ARPA   Vlan256

Internet 172.20.156.33         0   000b.cd85.a193 ARPA   Vlan256

Internet 172.20.156.13       0   000b.cd85.a193 ARPA   Vlan256

Internet 172.20.156.15       0   000b.cd85.a193 ARPA   Vlan256

Internet 172.20.156.14       0   000b.cd85.a193 ARPA   Vlan256



如有不對之處 請多多指教