ARP -欺骗:为什么攻击者不断发送ARP回复？

Question

我已经理解了arp欺骗的基本概念。然而，我正在为细节而奋斗。

为什么攻击者必须不断地向网络发送伪造的arp公告？

客户端是否只接受在IP地址的特定MAC地址请求之后到达的第一个arp公告(这意味着不断发送的伪造回复比实际MAC地址的回复更快)，还是所有客户端都通过在网络上监听arp-公告来定期更新缓存？

Answer 1

当主机在没有ARP请求的情况下发送ARP回复时，这是一个无偿的ARP。

在您的场景中，这是有用的，原因有两个：

• 如果一个新主机连接到网络，它将接收免费的ARP，并且它将自动成为攻击的受害者。
• 如果主机不发送通信量，则将清除ARP缓存中的条目。因此，对于无偿的ARP，超时总是被重置。

每个接收免费ARP的客户端都会更新他们的ARP缓存。

Answer 2

发送的消息称为无偿的ARP回复，这意味着机器广播它的ARP，而不是等待客户端的请求。把它想象成‘你好，我来了！’

它一直这样做的原因是为了确保所有客户端保持他们的ARP缓存查看攻击者MAC。否则，原来的机器就可以播放他们无端的ARP留言：“你好，我来了！”让客户再次看到他们真正的MAC。

它还继续发送消息，以确保新客户端看到它，即将到期的客户端得到更新。