网关欺骗是怎么回事

什么是网关欺骗

什么首先小编来解释下网关欺骗是怎么回事，要解决这个问题首先要搞清网关是什么。你可以把网关理解成一个代理，你的计算机在访问非本地网络时不知道如何找到目标计算机，于是就去问网关，网关负责转发数据包给目标计算机，再把目标计算机的回应转发给你的计算机，完成通讯。网关欺骗就是有非网关设备把自己伪装成网关，这样你和目标计算机之间的通讯内容都会被这个伪造网关截获。至于非法设备如何伪装成网关，就像你说的，把自己的ip地址设置成和真网关一样，并同时在本地网络内大量发送ARP通告，欺骗其它计算机说自己是网关，其他计算机就会被欺骗将数据包发给假网关。

                       图1. 网关欺骗工攻击示意图

所谓的网关欺骗攻击，指的就是ARP欺骗。ARP（Address Resolution Protocol）地址解析协议是一种将IP地址转化成物理地址的协议。首先我们可以肯定一点的就是发送ARP欺骗包是通过一个恶毒的程序自动发送的，正常的TCP/IP网络是不会有这样的错误包发送的，而人工发送又比较麻烦。也就是说当黑客没有运行这个恶毒程序的话，网络上通信应该是一切正常的，保留在各个连接网络计算机上的ARP缓存表也应该是正确的，只有程序启动开始发送错误ARP信息以及ARP欺骗包时才会让某些计算机访问网络出现问题。

ARP欺骗的种类

ARP欺骗是黑客常用的攻击手段之一，ARP欺骗分为二类，一类是对路由器ARP表的欺骗；另一类是对内网PC的网关欺骗。

截获网关数据：它通知路由器一系列错误的内网MAC地址，并按照一定的频率不断进行，使真实的地址信息无法通过更新保存在路由器中，结果路由器的所有数据只能发送给错误的MAC地址，造成正常PC无法收到信息。

伪造网关：它的原理是建立假网关，让被它欺骗的PC向假网关发数据，而不是通过正常的路由器途径上网。在PC看来，就是上不了网了，“网络掉线了”。一般来说，ARP欺骗攻击的后果非常严重，大多数情况下会造成大面积掉线。有些网管员对此不甚了解，出现故障时，认为PC没有问题，交换机没掉线的“本事”，电信也不承认宽带故障。而且如果第一种ARP欺骗发生时，只要重启路由器，网络就能全面恢复，那问题一定是在路由器了。为此，宽带路由器背了不少“黑锅”。

                             图2.冒充网关欺骗

ARP欺骗的原理
　　

某机器A要向主机B发送报文，会查询本地的ARP缓存表，找到B的IP地址对应的MAC地址后，就会进行数据传输。如果未找到，则广播A一个ARP请求报文（携带主机A的IP地址Ia——物理地址Pa），请求IP地址为Ib的主机B回答物理地址Pb。网上所有主机包括B都收到ARP请求，但只有主机B识别自己的IP地址，于是向A主机发回一个ARP响应报文。其中就包含有B的MAC地址，A接收到B的应答后，就会更新本地的ARP缓存。接着使用这个MAC地址发送数据（由网卡附加MAC地址）。因此，本地高速缓存的这个ARP表是本地网络流通的基础，而且这个缓存是动态的。

从上面的介绍我们可以清楚的明白原来网络中传输数据包最后都是要根据MAC地址信息的，也就是说虽然我们日常通讯都是通过IP地址，但是最后还是需要通过ARP协议进行地址转换，将IP地址变为MAC地址。问题也会随着ARP欺骗包针对网关而变本加厉，当局域网中一台机器，反复向其他机器，特别是向网关，发送这样无效假冒的ARP应答信息包时，严重的网络堵塞就会开始。由于网关MAC地址错误，所以从网络中计算机发来的数据无法正常发到网关，自然无法正常上网。这就造成了无法访问外网的问题，另外由于很多时候网关还控制着我们的局域网LAN上网，所以这时我们的LAN访问也就出现问题了。

如何避免ARP欺骗攻击

安装ARP防火墙（百度一下“ARP防火墙”），可以有效的防止ARP欺骗，并且可以追踪网内的攻击源。小编今天就暂时先说到这里 ， 若大家有其他不同见解或是疑问， 可以到本站的论坛去发帖跟我爱方案网网友交流...