(4)全子网轮询欺骗:篡改被攻击主机X中关于网络内多台主机的ARP记录,这台被攻击的主机为网关或网络内任何一台非网关的主机,被篡改后的MAC地址可以为网络内正在运行的主机MAC地址或随机伪造的不存在主机的MAC地址。
T时刻,主机X关于主机A的ARP记录被篡改;
T+N时刻,主机X关于主机B的ARP记录被篡改;
………
T+M时刻,主机X关于主机Z的ARP记录被篡改;
(5)网络监听:攻击主机利用上述多主机欺骗来仿冒网关,利用全子网轮询欺骗来篡改真正网关上关于局域网内所有主机的ARP缓存记录,从而实现对局域网内所有主机同外部网的通信进行监听。实现了在交换式网络环境中对网络通信的监听。
ARP扫描攻击
向局域网内的所有主机发送ARP请求,从而获得正在运行主机的ip和mac地址映射对。ARP扫描往往是为发动ARP攻击做准备。攻击源通过ARP扫描来获得所要攻击主机的ip和mac地址。从而为网络监听、盗取用户数据,实现隐蔽式攻击做准备。
虚拟主机攻击
通过在网络内虚拟构建网卡,将自己虚拟成网络内的一台主机,拥有虚拟的物理地址和ip地址。主要是通过在链路层捕获所有流经的ARP请求数据包进行分析,若是对虚拟主机的ARP请求就会发送对应虚拟物理地址的ARP响应,并且虚拟主机本身也会发送ARP请求。虚拟主机攻击会占用局域网内的IP地址资源,使得正常运行的主机发生ip地址冲突,并且局域网内的主机也无法正常获得ip地址。
ARP攻击造成的现象
ARP的攻击问题影响很大,局域网内一旦有ARP的攻击存在,会欺骗局域网内所有的主机和网关,让所有上网的流量必须经过ARP攻击者控制的主机。其它用户原来直接通过网关上网,现在却转由通过被控主机转发上网。由于被控主机性能和程序性能的影响,这种转发并不会非常流畅,因此就会导致用户上网的速度变慢甚至频繁断线。另外ARP欺骗需要不停地发送ARP应答包,会造成网络拥塞。而且网络节点间的连通也会出现异常。对于ARP欺骗攻击还会有其它表现,如出现网络内大面积账号丢失和数据失密等等。对于IP地址冲突攻击会使得主机不断弹出ip地址冲突的警告信息。