ARP 缓存中毒

对手可能会毒害地址解析协议 (ARP) 缓存，以将自己置于两个或多个网络设备的通信之间。这种活动可用于启用后续行为，例如 网络嗅探 或 传输数据篡改。 ARP 协议用于将 IPv4 地址解析为链路层地址，例如媒体访问控制 (MAC) 地址。(引用: RFC826 ARP) 本地网络段中的设备通过使用链路层地址进行通信。如果网络设备没有特定网络设备的链路层地址，它可能会向本地网络发送广播 ARP 请求，以将 IP 地址转换为 MAC 地址。具有相关 IP 地址的设备直接回复其 MAC 地址。发出 ARP 请求的网络设备将使用并存储该信息在其 ARP 缓存中。 对手可能会被动等待 ARP 请求来毒害请求设备的 ARP 缓存。对手可能会回复他们的 MAC 地址，从而欺骗受害者，使其相信他们正在与预期的网络设备通信。为了毒害 ARP 缓存，对手的回复必须比合法 IP 地址所有者的回复更快。对手还可能发送一个免费的 ARP 回复，恶意宣布拥有特定 IP 地址给本地网络段中的所有设备。 ARP 协议是无状态的，不需要身份验证。因此，设备可能会错误地将 IP 地址的 MAC 地址添加或更新到其 ARP 缓存中。(引用: Sans ARP Spoofing Aug 2003)(引用: Cylance Cleaver) 对手可能会使用 ARP 缓存中毒作为拦截网络流量的一种手段。这种活动可用于收集和/或中继数据，例如通过不安全、未加密协议发送的凭据。(引用: Sans ARP Spoofing Aug 2003)