下载文档原格式
一、ARP协议ARP协议是“Address Resolution Protocol”(地址解析协议)的缩写,在局域网中,网络中实际传输的是“帧”,帧里面是有目标主机的MAC地址的。
在以太网中,一个主机要和另一个主机进行直接通信,必须要知道目标主机的MAC地址。
所谓“地址解析”就是主机在发送帧前将目标IP地址转换成目标MAC地址的过程。
ARP协议的基本功能就是通过目标设备的IP地址,查询目标设备的MAC地址,以保证通信的顺利进行。
二、ARP攻击现象以下几种现象为ARP攻击常见的现象:1. 上网时断时续;2. 通过IE地址栏输入要打开的网页地址,实际上打开的网页地址与目的地址不一致;3. 用户访问网页,瑞星杀毒软件监控提示木马病毒报警,但是全盘查杀木马病毒,并未扫描出木马病毒;4. 本地查杀没有病毒木马,但是用户账号密码被盗。
三、ARP欺骗原理如图所示,正常情况下,PC A(192.168.0.1)向PC B(192.168.0.2)发送数据时,会先在自己的ARP缓存表中查看是否有PC B的IP地址,如果有,则会找到此IP地址对应的MAC地址,向此MAC地址发送数据。
如果PC A在自己的ARP缓存表中未发现PC B的IP 地址,则PC A 会在网络中发送一个广播,查找192.168.0.2 此IP对应的MAC 地址。
此时,网络上其他主机并不会相应此ARP询问,只有PC B接收到这个消息时,会回应PC B(192.168.0.2)的MAC地址(bb-bb-bb-bb)。
这样,PC A就可以向PC B通讯了,而且,PC A 会将此对应信息记录到自己的缓存表中,下次再访问就可以直接通过ARP缓存表查看。
发生ARP攻击时,例如,PC C(192.168.0.3)感染了ARP病毒,它会在局域网内发送伪造的ARP REPLY包,内容如下,PC B(192.168.0.2)的MAC地址为cc-cc-cc-cc。
这样,所有的接收到此包的客户端PC A, PC D 在访问PC B(192.168.0.2)的时候,就会变成先访问PC C,这样,PC C 就成功获取了PC A, PC D 发送的消息。
网络安全中的ARP攻击与防御技术网络安全是当今社会亟待解决的问题之一,而ARP攻击是网络安全的一个重要方面。
ARP(Address Resolution Protocol)是在局域网中将IP地址转换为MAC地址的协议。
ARP攻击是指攻击者利用网络重放、欺骗等手段,混淆MAC地址,使数据包传输至错误的设备,从而实现非法窃取、篡改、拦截数据等目的。
本文将阐述ARP攻击的类型、危害以及防御技术。
一、ARP攻击类型1.欺骗攻击欺骗攻击是ARP攻击中最常见的一种类型。
攻击者通过伪造源MAC地址,向目标主机发送虚假的ARP响应包,欺骗其将攻击者的MAC地址误认为是网关的MAC地址,使得目标主机的所有流量都被攻击者所控制。
2.中间人攻击中间人攻击是指攻击者在通信双方之间插入自己,屏蔽双方之间的通信,可用于窃听或篡改通信内容。
攻击者通过欺骗双方主机,使得每个主机都将其MAC地址当做网关的MAC地址,从而使双方都认为它们在与网关通信,实际上却被攻击者所控制。
3.重放攻击重放攻击是指攻击者通过截获数据包,再次发送这些数据包,使得目标主机误认为这些数据包来自于合法的源地址。
攻击者可以基于此窃取敏感信息或篡改通信内容。
二、ARP攻击危害ARP攻击可以造成以下危害:1.窃取信息ARP攻击者可以通过欺骗建立中间人攻击,窃取用户账号、密码等敏感信息。
2.篡改数据攻击者可以在中间人攻击中,篡改数据包的内容,从而影响网络传输过程中数据的真实性,例如拦截传输的文件内容并进行篡改。
3.劫持会话攻击者可以在ARP攻击中,劫持用户的会话,将用户强制下线,并据此进行非法操作。
三、ARP攻击防御技术1.升级路由器固件升级路由器固件可以消除一些已知的网络安全漏洞,提高路由器安全性,从而防止一些ARP攻击。
2.使用ARP防火墙ARP防火墙是通过静态配置软件/硬件设备与网络的关系,来识别并阻断非授权设备与网络中特定子网的通信。
ARP防火墙可以防止接入局域网的恶意主机和非法服务器,以及ARP欺骗等攻击。
ARP攻击防范与解决方案ARP(Address Resolution Protocol)攻击是一种常见的网络攻击手段,攻击者通过伪造ARP响应包,将目标主机的IP地址与自己的MAC地址进行绑定,从而实现中间人攻击、数据篡改等恶意行为。
为了保障网络安全,我们需要了解ARP 攻击的原理和防范方法。
一、ARP攻击原理1.1 ARP攻击原理:攻击者发送伪造的ARP响应包,欺骗目标主机将攻击者的MAC地址与目标主机的IP地址进行绑定。
1.2 中间人攻击:攻击者获取目标主机的通信数据,进行篡改或窃取敏感信息。
1.3 数据劫持:攻击者截取目标主机的通信数据,对数据进行篡改或篡改。
二、ARP攻击的危害2.1 窃取敏感信息:攻击者可以窃取目标主机的敏感信息,如账号密码、银行卡信息等。
2.2 数据篡改:攻击者可以篡改目标主机的通信数据,导致数据不一致或损坏。
2.3 网络拒绝服务:攻击者可以通过ARP攻击导致网络拥堵,影响网络正常运行。
三、ARP攻击防范方法3.1 ARP缓存监控:定期监控网络设备的ARP缓存表,及时发现异常ARP绑定。
3.2 静态ARP绑定:在网络设备上设置静态ARP绑定表,限制ARP响应包的发送。
3.3 ARP防火墙:使用ARP防火墙软件,对网络中的ARP流量进行监控和过滤。
四、ARP攻击解决方案4.1 使用ARP检测工具:如ARPWatch、ArpON等工具,检测网络中的ARP 攻击行为。
4.2 网络隔离:将网络划分为多个子网,减少ARP攻击的影响范围。
4.3 加密通信:使用加密通信协议,保护通信数据的安全性。
五、总结5.1 ARP攻击是一种常见的网络攻击手段,对网络安全造成严重威胁。
5.2 了解ARP攻击的原理和危害,采取相应的防范措施是保障网络安全的重要举措。
5.3 通过监控ARP缓存、设置静态ARP绑定、使用ARP防火墙等方法,可以有效防范和解决ARP攻击。
arp攻击原理
ARP攻击是一种网络攻击方式,攻击者利用局域网中ARP协议的缺陷来伪造本地网络设备的MAC地址,从而欺骗其他设备,使其将数据发送到攻击者指定的地址上。
以下是一些常见的ARP攻击原理:
1. ARP欺骗攻击:攻击者可以发送伪造的ARP响应包到目标设备,使目标设备将其MAC地址缓存到ARP缓存中。
一旦攻击成功,攻击者就可以转发、记录或修改目标设备的数据流。
2. ARP投毒攻击:攻击者可以发送伪造的ARP请求包到目标设备,将目标设备的MAC地址与错误的IP地址相对应。
一旦攻击成功,目标设备就会将数据发送到错误的IP地址上,攻击者就可以拦截、篡改或删除数据包。
3. MAC欺骗攻击:攻击者可以伪造网络设备的MAC地址,使其与目标设备的MAC地址相同。
一旦攻击成功,攻击者就可以接管与目标设备相关的所有网络流量。
4. ARP中间人攻击:攻击者可以伪造多个ARP响应包,使目标设备将其MAC地址缓存到ARP缓存中。
一旦攻击成功,攻击者就可以模拟目标设备与其他设备之间的通信,同时拦截、篡改或删除数据包。
为了避免ARP攻击,网络管理员可以采取一些措施,例如使用网络交换机而非集线器、实现防火墙、启用网络层加密及使用网络监控软件等。
- 1 -。
arp攻击方式及解决方法ARP(地址解析协议)是计算机网络中一种用来将IP地址转换为MAC地址的协议。
然而,正因为ARP协议的特性,它也成为了黑客进行网络攻击的目标之一。
本文将介绍ARP攻击的几种常见方式,并提供解决这些攻击方式的方法。
一、ARP攻击方式1. ARP欺骗攻击ARP欺骗攻击是最常见的ARP攻击方式之一。
攻击者发送伪造的ARP响应包,将自己的MAC地址伪装成其他主机的MAC地址,迫使目标主机发送网络流量到攻击者的机器上。
2. ARP缓存投毒ARP缓存投毒是一种通过向目标主机的ARP缓存中插入虚假的ARP记录来实施攻击的方式。
攻击者伪造合法主机的MAC地址,并将其与错误的IP地址关联,从而导致目标主机将网络流量发送到错误的目的地。
3. 反向ARP(RARP)攻击反向ARP攻击是使用类似ARP欺骗的方式,攻击者发送伪造的RARP响应包,欺骗目标主机将攻击者的MAC地址与虚假的IP地址进行关联。
二、解决ARP攻击的方法1. 使用静态ARP表静态ARP表是手动创建的ARP表,其中包含了真实主机的IP地址和MAC地址的映射关系。
通过使用静态ARP表,可以避免因为欺骗攻击而收到伪造的ARP响应包。
2. 使用防火墙防火墙可以检测和过滤网络中的恶意ARP请求和响应包。
通过配置防火墙规则,可以限制只允许来自合法主机的ARP请求和响应。
3. 使用网络入侵检测系统(NIDS)网络入侵检测系统可以监测网络中的恶意ARP活动,并提供实时告警。
通过使用NIDS,可以及时发现并应对ARP攻击事件。
4. ARP绑定ARP绑定可以将指定的IP地址和MAC地址绑定在一起,防止ARP欺骗攻击。
主机在发送ARP请求时会同时检查绑定表,如果发现IP地址和MAC地址的对应关系不匹配,则会拒绝该ARP响应。
5. 使用加密技术使用加密技术可以防止ARP请求和响应包被篡改和伪造。
通过在ARP包中添加加密信息,可以提高网络的安全性,防止ARP攻击的发生。
arp攻击原理ARP攻击是一种利用ARP协议的安全漏洞来进行的网络攻击。
ARP(Address Resolution Protocol)是一种用于将IP地址解析成对应MAC地址的协议,它在局域网中常用来进行网络通信。
攻击者利用ARP攻击的原理是通过发送伪造的ARP响应包来欺骗目标主机,使其将发送到指定IP地址的数据包发送到攻击者所指定的MAC地址上。
这样,攻击者就能够截获目标主机的通信数据,甚至修改或插入自己的数据进去。
具体来说,ARP攻击一般分为以下步骤:1. 攻击者在局域网中监听目标主机的ARP请求。
ARP请求是主机在需要与另一台主机通信时发送的请求,用于获取目标主机的MAC地址。
2. 攻击者接收到目标主机发送的ARP请求后,会伪造一个ARP响应包发送给目标主机。
这个ARP响应包中包含了伪造的MAC地址,将欺骗目标主机认为这个MAC地址是正确的。
3. 目标主机收到伪造的ARP响应包后,会将其存储在ARP缓存表中。
ARP缓存表是由主机维护的用于存储IP地址与对应MAC地址的映射关系的表。
4. 当目标主机想要发送数据包时,会查找ARP缓存表获取目标IP地址对应的MAC地址。
由于攻击者伪造的ARP响应包中的MAC地址已经被存储在ARP缓存表中,目标主机会将数据包发送到攻击者的MAC地址上。
5. 攻击者收到目标主机发送的数据包后,可以进行各种操作,例如嗅探数据包内容、篡改数据包内容等。
值得注意的是,ARP攻击主要针对局域网内的通信,因为ARP协议只在局域网中起作用。
此外,为了防止ARP攻击,可以采取一些防范措施,例如使用静态ARP表、使用ARP防火墙等。
ARP攻击方式及介绍攻击造成的现象ARP(Address Resolution Protocol)是一种广泛使用的局域网通信协议,用于将IP地址解析为MAC地址。
它通过发送ARP请求,询问特定IP地址的MAC地址,并将结果缓存在本地ARP缓存中,以提高网络传输的效率。
然而,由于ARP的工作方式容易受到攻击者的利用,因此ARP攻击成为了网络安全领域的一大威胁。
本文将介绍ARP攻击的几种常见方式,并详细讨论攻击造成的现象。
1. ARP欺骗(ARP Spoofing):ARP欺骗是最常见的ARP攻击方式之一,攻击者通过发送伪造的ARP响应包,将自己的MAC地址欺骗成目标主机的MAC地址,使得网络流量误导到攻击者的计算机上。
受到ARP欺骗影响的主机会将其传输的数据发送到攻击者所在的计算机,从而攻击者可以窃取敏感信息、修改数据或者拒绝服务。
另外,ARP欺骗还可以用于中间人攻击(Man-in-the-Middle Attack),攻击者将自己伪装成通信双方之间的中间节点,窃取通信内容或篡改通信数据。
2. ARP投毒(ARP Poisoning):ARP投毒是一种特殊形式的ARP欺骗,攻击者发送大量的伪造ARP响应包给所有主机,将一个或多个正常的ARP缓存条目篡改成攻击者所期望的条目。
这样一来,就会导致通信的源和目标主机都将数据发送到攻击者所在的计算机上。
攻击者通过篡改数据或拦截通信,干扰正常的网络传输或窃取敏感信息。
3. ARP劫持(ARP Hijacking):ARP劫持是一种利用ARP欺骗技术的高级攻击方式,攻击者通过持续发送伪造的ARP响应包,将目标主机的ARP表中原有的合法条目替换为攻击者所期望的条目。
这样,攻击者可以完全控制目标主机的网络连接,拦截、修改或重定向目标主机的通信。
4. 反向ARP攻击(Reverse ARP Attack):反向ARP攻击是一种少见的ARP攻击方式,攻击者伪造目标主机的ARP响应包,将目标主机的MAC地址欺骗成攻击者的MAC地址。
随着信息技术的发展,特别是现在高速网络的快速推进,各大高校对互联网的应用更加广泛。
很多新的应用技术也在不断地开发并投入应用之中。
但是科技从来都是“矛盾”并行的。
新技术可以让我们感受到科技的便利,同时也会给我们带来新的烦恼。
在我们越来越依赖互联网的时候,网络攻击的问题也更加突出。
对于校园网来说,ARP攻击就是一个挥之不去的梦魇。
ARP攻击又称为“ARP欺骗”,这种欺骗被加载到木马和病毒程序上,在校园网内快速扩散,严重干扰了校园网正常运行。
ARP攻击的具体表现为:在使用校园网时经常突然掉线,过一会儿网络又可能恢复,这种现象会频繁出现。
如果重新启动计算机或者在命令提示符下键入“arp –d”,暂时又可以恢复网络的使用,如此周而复始。
ARP攻击一般比较顽固,在一个网络中只要出现一台电脑有ARP病毒程序,就会导致整个网络出现间歇性中断,甚至整个网络瘫痪,危害特别大,前一段时间,各大校园网都受到不同程序的攻击。
ARP攻击由于附着于木马之上,经常还兼有盗取用户QQ密码、游戏账号以及网上银行账号进行非法活动,给用户带来不便甚至经济损失。
鉴于ARP攻击的危害极大,对于ARP攻击的防范在互联网应用中就是一种常规任务了。
我院在遭受ARP攻击后,采用相关技术积极应对,大大降低ARP攻击的成功率,确保了学院校园网的正常运行。
1.ARP协议及ARP攻击原理及攻击方式1.1 ARP协议简介ARP协议是Address Resolution Protocol地址解析协议的缩写,是一种将IP地址转化成物理地址,即Mac地址的协议,在TCP/IP局域网中以帧的方式传输数据,并且根据帧中目标主机的MAC地址来进行寻址。
在TCP/IP网络中,一台主机与另一台主机进行直接通信,就必须要知道目的主机的MAC地址,这个目的MAC地址就是通过ARP协议获取的,地址解析就是主机在发送帧前将目的主机的IP地址转换成目的主机MAC地址的过程,这样即可实现各主机间的通信。
ARP的攻击主要的几种方式及防护方法ARP(Address Resolution Protocol)攻击是指攻击者通过伪造或篡改网络中的ARP数据包,从而欺骗网络中的主机或路由器,导致数据包被发送到错误的目的地。
这些攻击可能会导致中断网络连接、数据丢失、数据泄露等问题。
下面是几种常见的ARP攻击方式及相应的防护方法:1. ARP欺骗攻击(ARP Spoofing):ARP欺骗攻击是指攻击者将自己伪装成网络中的其他主机,向网络中发送伪造的ARP响应数据包,使得网络中的其他主机将攻击者的MAC地址与网络中的目标IP地址关联起来。
攻击者可以利用这种方式进行MITM (中间人攻击)或者嗅探网络流量等操作。
防护方法:-使用静态ARP表,手动将IP地址和MAC地址进行绑定,避免收到伪造的ARP响应。
- 使用ARP防御工具,如ARPwatch、ARPON等,能够检测并告警网络中的ARP欺骗行为。
-配置网络交换机的ARP防火墙功能,只允许网络中合法设备发送的ARP响应被接收。
2. ARP缓存投毒攻击(ARP Cache Poisoning):ARP缓存投毒攻击是指攻击者向网络中的一些主机发送大量的伪造ARP数据包,使得该主机的ARP缓存中的IP地址与MAC地址映射关系被篡改,导致该主机误将数据包发送到错误的目的地。
防护方法:-使用动态ARP表,定期更新ARP缓存,避免长时间保留与IP地址不匹配的MAC地址。
-启用ARP缓存有效期(TTL)功能,限制ARP缓存的存活时间,避免长时间保留错误的ARP映射。
- 使用属性ARP缓存(Secure ARP Cache)功能,将缓存记录与特定的端口绑定,不接受来自其他端口的ARP应答。
3.反向ARP(RARP)攻击:反向ARP攻击是指攻击者向网络中的主机发送伪造的RARP请求包,使得该主机向攻击者提供目标主机的IP地址、MAC地址等敏感信息,从而导致安全隐患。
防护方法:-禁用RARP服务功能,减少被攻击的风险。
ARP攻击防范与解决方案一、背景介绍ARP(Address Resolution Protocol)是用于将IP地址转换为物理MAC地址的协议。
然而,ARP协议的设计存在一些安全漏洞,使得攻击者可以利用ARP欺骗技术进行ARP攻击,从而实施网络欺骗、中间人攻击等恶意行为。
本文将介绍ARP攻击的原理、常见的ARP攻击方式,以及针对ARP攻击的防范与解决方案。
二、ARP攻击的原理ARP攻击利用了ARP协议的工作方式,攻击者发送伪造的ARP响应包,将合法的MAC地址与欺骗的IP地址进行绑定,使得网络中的其他设备将数据发送到攻击者的设备上。
这样,攻击者就可以窃取、篡改或者阻断通信数据。
三、常见的ARP攻击方式1. ARP欺骗(ARP Spoofing):攻击者发送伪造的ARP响应包,将自己的MAC地址与目标IP地址进行绑定,使得目标设备将通信数据发送到攻击者的设备上。
2. ARP缓存投毒(ARP Cache Poisoning):攻击者发送大量伪造的ARP响应包,将合法的MAC地址与欺骗的IP地址进行绑定,导致网络中的设备的ARP缓存表中浮现错误的映射关系。
3. ARP欺骗中间人(ARP Spoofing Man-in-the-Middle):攻击者同时发送伪造的ARP响应包,将自己的MAC地址与源IP地址以及目标IP地址进行绑定,使得攻击者能够窃取通信数据并进行中间人攻击。
四、ARP攻击的危害1. 窃取敏感信息:攻击者可以通过ARP攻击窃取网络中的敏感信息,如账号密码、银行卡信息等。
2. 篡改通信数据:攻击者可以修改通信数据,导致通信内容被篡改,引起信息泄露或者误导。
3. 拒绝服务攻击:攻击者可以通过ARP攻击阻断网络中的通信,导致服务不可用。
五、ARP攻击的防范与解决方案1. 使用静态ARP表:在网络设备上手动配置静态ARP表,将IP地址与MAC地址进行绑定,避免受到伪造的ARP响应包的影响。
2. 使用ARP防火墙:部署ARP防火墙设备,对网络中的ARP流量进行监测和过滤,阻挠伪造的ARP响应包的传输。
ARP攻击ARP攻击,是指攻击者利用地址解析协议本身的运行机制而发动的攻击行为。
包括进行对主机发动IP冲突攻击、数据包轰炸,切断局域网上任何一台主机的网络连接等。
[5]主要有以盗取数据为主要目的的ARP欺骗攻击,还有以捣乱破坏为目的的ARP泛洪攻击两种。
争对这两种主要攻击方式,本文作者又细分为以下几种ARP攻击类型:1. IP地址冲突制造出局域网上有另一台主机与受害主机共享一个IP的假象。
由于违反了唯一性要求,受害主机会自动向用户弹出警告对话框。
大量的攻击数据包能令受害主机耗费大量的系统资源。
对于windows操作系统,只要接收到一个ARP数据包,不管该ARP数据包符不符合要求,只要该ARP数据包所记录的源ip地址同本地主机相同但MAC地址不同,windows系统就会弹出ip地址冲突的警告对话框。
根据ip地址冲突的攻击特征描述,这种类型的ARP攻击主要有以下几种:(1)单播型的IP地址冲突:链路层所记录的目的物理地址为被攻击主机的物理地址,这样使得该ARP数据包只能被受攻击主机所接收而不被局域网内的其它主机所接收实现隐蔽式攻击。
(2)广播型的IP地址冲突:链路层所记录的目的物理地址为广播地址,这样使得局域网内的所有主机都会接受到该ARP数据包,虽然该ARP数据包所记录的目的ip地址不是受攻击主机的ip地址,但是由于该ARP数据包为广播数据包,这样受攻击主机也会接收到从而弹出ip地址冲突的警告对话框。
2. ARP泛洪攻击攻击主机持续把伪造的MAC-IP映射对发给受害主机,对于局域网内的所有主机和网关进行广播,抢占网络带宽和干扰正常通信。
这种攻击方式的主要攻击特征包含(1)通过不断发送伪造的ARP广播数据报使得交换机拼于处理广播数据报耗尽网络带宽。
(2)令局域网内部的主机或网关找不到正确的通信对象,使得正常通信被阻断。
(3)用虚假的地址信息占满主机的ARP高速缓存空间,造成主机无法创建缓存表项,无法正常通信,这种攻击特征作者将其命名为ARP溢出攻击。
ARP泛洪攻击不是以盗取用户数据为目的,它是以破坏网络为目的,属于损人不利己的行为。
3.ARP溢出攻击ARP溢出攻击的特征主要有:(1)所发送的伪造MAC-IP映射对的ip地址是非本地网的虚拟不存在的ip地址但MAC地址是固定的,由于当操作系统接收到一个源ip地址在ARP高速缓存表中不存在的ARP数据包时,就会在缓存表中创建一个对应MAC-IP的入口项。
(2)所发送的伪造MAC-IP映射对的ip地址是非本地网的虚拟不存在的ip地址而且MAC地址也是虚拟变化的。
发送这种类型的攻击数据包会引起交换机的CAM表溢出。
由于交换机是通过学习进入各端口数据帧的源MAC地址来构建CAM表,将各端口和端口所连接主机的MAC地址的对应关系进行记录,因而可根据CAM表来决定数据帧发往哪个端口。
如果攻击源持续向交换机发送大量有错误的MAC地址ARP数据包,就会破坏端口与MAC的对应关系,并导致CAM表溢出。
在这种情形之下,缺少防范措施的交换机就会以广播的模式处理报文,形成泛洪向所有接口转发通信信息流。
[6]最终使得交换机变成HUB,将交换式的网络变成广播式的网络,使得网络带宽急剧下降。
4.ARP欺骗攻击ARP欺骗原理假如主机A要与目的主机B进行通信,为了查找与目的主机IP地址相对应的MAC地址,主机A使用ARP协议来查找目的主机B的MAC地址。
首先,源主机A会以广播的形式发送一个ARP请求数据包给以太网上的每一台主机,这个过程称为ARP广播。
而在接收到ARP广播的所有计算机中,只有具有目的主机IP地址的主机B收到该广播报文后,才会向源主机A回送一个包含其MAC地址的应答,这样一次正常的地址解析过程就完成了。
为了尽量减少网络中ARP广播请求的次数,每台主机都拥有一个ARP缓存,这个缓存存放了自主机启动以来所有的IP地址与MAC地址之间的映射记录。
主机每隔一定时间或者每当收到ARP应答,都会用新的地址映射记录对ARP缓存进行更新,以保证自己拥有最新的地址解析缓存。
利用ARP协议的缓存更新不需要验证的特点,就可以冒用一个合法IP,对同网络的数据进行嗅探,而这正是ARP欺骗病毒所采用的手段。
假设有3台主机分别为A、B、C,其中主机C已经感染了ARP地址欺骗病毒。
正常情况下,主机A与主机B通信对于主机C是不可见的,但是,主机C利用ARP欺骗技术,实现了交换网络下的嗅探。
其主要步骤如下:(1)主机C向主机A发送一个非法ARP响应,将主机A的ARP缓存中B的MAC地址篡改为C 的MAC地址;(2)主机C向主机B发送一个非法ARP响应,将主机B的ARP缓存中A的MAC地址篡改为C的MAC地址;(3)在主机C上启动IP Forward(IP转发)功能。
于是,主机A与主机B之间的通道由主机A到主机B变成主机A到主机C再到主机B,主机C作为“中介”,转发主机A与主机B通信产生的所有数据包。
这样,在光天化日之下,主机C 竟然劫持了所有主机A和主机B之间通信的数据,这就是ARP地址欺骗的过程。
当主机C 冒充网关的情形下,由于局域网中的电脑连接外网时,也就是登录互联网的时候,都要经过局域网中的网关转发一下,所有收发的数据都要先经过网关,再由网关发向互联网。
这也就意味着电脑C能截获并篡改所有局域网到互联网、互联网到局域网的数据。
5.ARP欺骗种类(1)拒绝服务攻击:拒绝服务攻击就是使目标主机不能响应外界请求,从而不能对外提供服务的攻击方法。
如果攻击者将目标主机ARP缓存中的MAC地址全部改为根本就不存在的地址,那么目标主机向外发送的所有以太网数据帧会丢失,使得上层应用忙于处理这种异常而无法响应外来请求,也就导致目标主机产生拒绝服务。
(2)中间人攻击:中间人攻击就是攻击者将自己的主机插入两个目标主机通信路径之间,使他的主机如同两个目标主机通信路径上的一个中继,这样攻击者就可以监听两个目标主机之间的通信。
例如局域网内的三台机子A、S、D,现在A要监听S与D之间的通信。
攻击过程如下:A侵染目标主机S与D的ARP缓存,使得S向D发送数据时,使用的是D的IP地址与A的MAC地址,并且D向S发送数据时,使用的是S的IP地址与A的MAC地址,因此所有S与D之间的数据都将经过A,再由A转发给他们。
如果攻击者对一个目标主机与它所在局域网的路由器实施中间人攻击,那么攻击者就可以截取Internet与这个目标主机的之间的全部通信。
[8](3)多主机欺骗:篡改被攻击主机群中关于网络内某一台主机X的ARP记录,被攻击的主机群为网络中的多台主机而非一台主机。
主机X为网关或网络内任何一台非网关的正在运行主机。
被篡改后的MAC地址可以为网络内正在运行的主机MAC地址或随机伪造的不存在主机的MAC地址。
[11]T时刻,主机A关于主机X的ARP记录被篡改;T+N时刻,主机B关于主机X的ARP记录被篡改;………T+M时刻,主机Z关于主机X的ARP记录被篡改;例如当攻击主机要仿冒网关就会向局域网内的主机群发送ARP数据包,以自身MAC地址来冒充真正的网关,使受骗主机群的ARP缓冲区的MAC地址错误地更新为攻击源的MAC地址,导致受骗主机群向假网关发送通信信息,而不是通过路由器或交换途径寻找真正的网关并发送通信信息。
这时攻击主机可以把自己设置成一台路由器负责对数据包转发,从而达到仿冒网关的目的。
这是一种比较常见的欺骗形式,这种欺骗方式可以控制同一网关下的所有主机对网络的访问。
网吧内经常发生游戏密码被盗现象就是因为遭受到仿冒网关的ARP 攻击。
(4)全子网轮询欺骗:篡改被攻击主机X中关于网络内多台主机的ARP记录,这台被攻击的主机为网关或网络内任何一台非网关的主机,被篡改后的MAC地址可以为网络内正在运行的主机MAC地址或随机伪造的不存在主机的MAC地址。
[11]T时刻,主机X关于主机A的ARP记录被篡改;T+N时刻,主机X关于主机B的ARP记录被篡改;………T+M时刻,主机X关于主机Z的ARP记录被篡改;(5)网络监听:攻击主机利用上述多主机欺骗来仿冒网关,利用全子网轮询欺骗来篡改真正网关上关于局域网内所有主机的ARP缓存记录,从而实现对局域网内所有主机同外部网的通信进行监听。
实现了在交换式网络环境中对网络通信的监听。
6.ARP扫描攻击向局域网内的所有主机发送ARP请求,从而获得正在运行主机的ip和mac地址映射对。
ARP 扫描往往是为发动ARP攻击做准备。
攻击源通过ARP扫描来获得所要攻击主机的ip和mac 地址。
从而为网络监听、盗取用户数据,实现隐蔽式攻击做准备。
7. 虚拟主机攻击通过在网络内虚拟构建网卡,将自己虚拟成网络内的一台主机,拥有虚拟的物理地址和ip 地址。
主要是通过在链路层捕获所有流经的ARP请求数据包进行分析,若是对虚拟主机的ARP请求就会发送对应虚拟物理地址的ARP响应,并且虚拟主机本身也会发送ARP请求。
虚拟主机攻击会占用局域网内的IP地址资源,使得正常运行的主机发生ip地址冲突,并且局域网内的主机也无法正常获得ip地址。
8.ARP攻击造成的现象ARP的攻击问题影响很大,局域网内一旦有ARP的攻击存在,会欺骗局域网内所有的主机和网关,让所有上网的流量必须经过ARP攻击者控制的主机。
其它用户原来直接通过网关上网,现在却转由通过被控主机转发上网。
由于被控主机性能和程序性能的影响,这种转发并不会非常流畅,因此就会导致用户上网的速度变慢甚至频繁断线。
另外ARP欺骗需要不停地发送ARP应答包,会造成网络拥塞。
而且网络节点间的连通也会出现异常。
对于ARP欺骗攻击还会有其它表现,如出现网络内大面积账号丢失和数据失密等等。
对于IP地址冲突攻击会使得主机不断弹出ip地址冲突的警告信息。
