arp欺骗的原理是什么

ARP欺骗的原理就是把自己的MAC地址伪造成网关的地址来欺骗其它的主机。

一般情况下，ARP欺骗并不是使网络无法正常通信，而是通过冒充网关或其他主机使得到达网关或主机的数据流通过攻击主机进行转发。通过转发流量可以对流量进行控制和查看，从而控制流量或得到机密信息。

当主机A和主机B之间通信时，如果主机A在自己的ARP缓存表中没有找到主机B的MAC地址时，主机A将会向整个局域网中所有计算机发送ARP广播，广播后整个局域网中的计算机都收到了该数据。

ARP是地址解析协议，是一种通过IP地址查找对应物理地址的协议。某机器A要向主机B发送报文，会查询本地的ARP缓存表，找到B的IP地址对应的MAC地址后，就会进行数据传输。如果未找到，则A广播一个ARP请求报文（携带主机A的IP地址Ia——物理地址Pa），请求IP地址为Ib的主机B回答他的物理地址Pb是多少。

网络上所有主机包括B都收到这份ARP请求，但只有主机B识别到是自己的IP地址，于是向A主机发回一个ARP响应报文，其中就包含有B的MAC地址Pb。A接收到B的应答后，就会更新本地的ARP缓存，接着使用这个MAC地址发送数据（由网卡封装这个MAC地址）。

单向ARP欺骗：当主机A再次与主机B通信时，该数据将被转发到攻击主机（主机C）上，则该数据流会经过主机C转发到主机B。

双向ARP欺骗：A要跟C正常通讯，B向A说我是才C。B向C说我才是A，那么这样的情况下把A跟C的ARP缓存表全部修改了。以后通讯过程就是 A把数据发送给B,B在发送给C，C把数据发送B，B在把数据给A。

攻击主机发送ARP应答包给被攻击主机和网关，它们分别修改其ARP缓存表, 修改的全是攻击主机的MAC地址，这样它们之间数据都被攻击主机截获。

防范ARP欺骗

只要在宽带路由器中把所有PC的IP-MAC输入到一个静态表中，这叫路由器IP-MAC绑定，就可以保证路由器不被欺骗。在内网所有PC上设置网关的静态ARP信息，在PC上进行IP-MAC绑定，就可以保证PC不被欺骗。如果两个工作同时做的话，称其为IP-MAC双向绑定，双向绑定是目前最有效的方式。

并不是所有的内网上网故障都是由ARP欺骗病毒引起的，很多网络管理人员动不动就拿ARP欺骗病毒说事，希望本文可以帮助网管快速定位故障，不要以为ARP欺骗病毒是内网故障的缔造者，要知道其他病毒，黑客入侵，驱动故障等问题也会造成内网上网故障，在故障排除时我们还是要保持一份平常冷静的心。