遭遇ARP劫持DNS欺骗，如何快速定位并解决？

在当今高度互联的网络世界中，一种隐蔽而危险的攻击方式正潜伏在局域网的角落，它就是ARP劫持与DNS劫持的结合体，这种攻击手法如同一个双面间谍，一方面利用ARP协议的漏洞在局域网内“冒名顶替”，另一方面则通过篡改DNS响应将用户引向精心设计的陷阱，理解其工作原理、危害及防范措施,对于保护个人和企业的信息安全至关重要。

ARP协议：网络世界的“门牌号查询系统”

要理解ARP劫持，首先需要了解地址解析协议（ARP），在局域网中，设备之间通信不仅需要IP地址（如同小区的楼栋号），还需要MAC地址（如同具体的房间门牌号），ARP协议的作用，就是将IP地址动态解析为对应的MAC地址，当你的计算机想访问网关时，它会广播一个ARP请求：“谁是192.168.1.1？请告诉我你的MAC地址。”网关收到后会回应自己的MAC地址，计算机便将此对应关系缓存起来,以便后续通信。

ARP劫持：一场精心策划的“身份冒充”

ARP协议本身存在一个致命缺陷：它信任任何收到的ARP响应，且缺乏验证机制，攻击者正是利用了这一点，实施ARP欺骗（或称ARP劫持），攻击者位于局域网内（公共Wi-Fi），会向网关和目标用户（例如你的电脑）发送伪造的ARP响应包。

对网关说：“我是受害者（你的电脑），我的MAC地址是[攻击者的MAC地址]。”
对受害者说：“我是网关，我的MAC地址是[攻击者的MAC地址]。”

这样一来，网关和受害者之间的所有通信流量，都会被悄无声息地转发到攻击者的设备上，攻击者成功扮演了“中间人”的角色，可以窃听、篡改甚至阻断任何数据。

DNS系统：互联网的“导航电话簿”

域名系统（DNS）则负责将人类易于记忆的域名（如www.examplebank.com）解析为机器能够识别的IP地址（如45.67.89），它就像是互联网的导航电话簿，我们输入网址,DNS帮我们找到正确的服务器位置。

ARP劫持如何实现DNS劫持？

当ARP劫持成功建立“中间人”通道后，DNS劫持便水到渠成,整个过程如下：

建立通道：攻击者通过ARP欺骗,使自己成为用户与网关之间的通信中转站。
拦截请求：当用户在浏览器中输入www.examplebank.com并回车时，计算机会向DNS服务器发送一个查询请求，这个请求在到达网关之前,会先被攻击者截获。
篡改响应：攻击者并不会将这个请求转发给真实的DNS服务器，而是直接伪造一个DNS响应包，回复给用户的计算机，这个伪造的响应包中，包含了一个恶意IP地址（一个钓鱼网站的IP 76.54.32）。
完成欺骗：用户的计算机收到伪造的DNS响应后，会更新其DNS缓存，认为www.examplebank.com对应的IP就是76.54.32。
重定向与钓鱼：随后，用户的浏览器会向这个恶意IP地址发起连接请求，从而被导向一个与真实银行网站一模一样的钓鱼页面，用户在毫无察觉的情况下输入账号密码,这些敏感信息便被攻击者窃取。

下表清晰地对比了正常访问与遭受攻击后的流程差异：

阶段	正常网络访问流程	ARP劫持DNS攻击流程
ARP解析	计算机获取网关的真实MAC地址。	攻击者欺骗计算机，使其认为攻击者的MAC是网关MAC。
DNS查询	计算机向真实DNS服务器发送查询请求。	攻击者截获DNS查询请求，不转发。
DNS响应	真实DNS服务器返回域名对应的真实IP。	攻击者向计算机返回一个伪造的恶意IP。
建立连接	浏览器向真实网站服务器发起连接。	浏览器向攻击者指定的恶意服务器（钓鱼网站）发起连接。
最终结果	用户安全访问真实网站。	用户被重定向至钓鱼网站，面临信息泄露风险。

防范策略：构建多层安全防线

面对ARP劫持DNS这种复合型攻击，单一的防护措施往往不足,需要构建一个立体的防御体系。

静态ARP绑定：在小型网络环境中，可以将网关的IP和MAC地址进行静态绑定,这样系统就不会接受伪造的ARP响应。
使用加密协议：启用HTTPS是关键一步，即使被重定向到钓鱼网站，如果该网站无法提供有效的SSL证书，浏览器会发出严重警告，使用DNS over HTTPS (DoH) 或 DNS over TLS (DoT) 可以加密DNS查询过程,防止被中间人篡改。
安装安全软件：专业的ARP防火墙或综合安全套件能够实时监测网络中的ARP包,发现异常行为并及时告警或阻断。
企业级防护：在交换机等网络设备上启用动态ARP检测（DAI）等安全功能,可以从网络层面根除ARP欺骗。