網關欺騙攻擊

某機器A要向主機B傳送報文，會查詢本地的ARP快取表，找到B的IP位址對應的MAC地址後，就會進行數據傳輸。如果未找到，則廣播A一個ARP請求報文（攜帶主機A的IP位址Ia——物理地址Pa），請求IP位址為Ib的主機B回答物理地址Pb。網上所有主機包括B都收到ARP請求，但只有主機B識別自己的IP位址，於是向A主機發回一個ARP回響報文。其中就包含有B的MAC地址，A接收到B的應答後，就會更新本地的ARP快取。接著使用這個MAC地址傳送數據（由網卡附加MAC地址）。因此，本地高速快取的這個ARP表是本地網路流通的基礎，而且這個快取是動態的。

ARP欺騙是黑客常用的攻擊手段之一，ARP欺騙分為二種，一種是對路由器ARP表的欺騙；另一種是對區域網路PC的網關欺騙。

第一種ARP欺騙的原理是——截獲網關數據。它通知路由器一系列錯誤的區域網路MAC地址，並按照一定的頻率不斷進行，使真實的地址信息無法通過更新保存在路由器中，結果路由器的所有數據只能傳送給錯誤的MAC地址，造成正常PC無法收到信息。第二種ARP欺騙的原理是——偽造網關。它的原理是建立假網關，讓被它欺騙的PC向假網關發數據，而不是通過正常的路由器途徑上網。在PC看來，就是上不了網了，“網路掉線了”。

一般來說，ARP欺騙攻擊的後果非常嚴重，大多數情況下會造成大面積掉線。有些網管員對此不甚了解，出現故障時，認為PC沒有問題，交換機沒掉線的“本事”，電信也不承認寬頻故障。而且如果第一種ARP欺騙發生時，只要重啟路由器，網路就能全面恢復，那問題一定是在路由器了。為此，寬頻路由器背了不少“黑鍋”。