北邮网络安全作业_ARP协议及其安全性分析
- 格式:docx
- 大小:791.41 KB
- 文档页数:4
文档推荐
-
网络安全协议的种类页数:2
-
网络安全协议概述(PPT 93页)页数:94
-
网络安全安全协议页数:67
-
网络安全认证协议形式化分析PPT演示文稿页数:24
-
网络安全认证协议形讲义式化分析页数:24
-
网络安全协议页数:80
下载文档原格式
合集下载
《网络安全》网络攻击技术_ARP攻击技术
对于第三层交换机,地址映射表中存储的不仅仅是MAC地 址了,而是MAC地址与IP地址的地址映射表。交换机在对一个 数据流进行路由后,将会产生一个MAC地址和IP地址的地址映 射。
8
嗅探技术
9
ARP攻击技术 在交换式网络环境下,要想达到嗅探 的目的,可以有三个攻击点,一是交换机 ,二是目标主机,再有就是改变自己了。
ARP缓存表中的每一个映射地址项都有生存时间,进行定时更 新。
5
嗅探技术
共享式网络的嗅探技术
以太网的共享特性决定了嗅探能够成功。由于以太网是基 于广播方式传送数据的,所有数据报都会被传送到每一个主 机节点,当网卡被设置成混杂模式时,无论监听到的数据帧 目的地址如何,网卡都能予以接收。
在局域网中,集线器是一种共享介质采用单工数据操作的 网络设备,工作在物理层。集线器对接收到的数据包采用 广播的方式进行转发,即连接到集线器上的计算机共享带 宽,并且需要处理网段内的所有数据报。
12
ARP攻击技术
修改本地MAC地址
也可以通过修改本地MAC地址为目标主机MAC地址来实现 嗅探。把主机 C 的 MAC 地址修改为目标主机 B 的 MAC 地址 ,交换机会将MACB和端口c对应起来。
在以后收到目的地址为 MACB 的数据报后,交换机会将包 从端口c发送出去。这样就达到了监听的目的。
3
嗅探技术 ARP协议
IP 地址是主机在网络层中的地址。数据链路层是不 能够识别 IP 地址的,但网卡、交换机等都工作在数据链 路层,所以如果要想将网络层中的数据报交给目的主机 ,必须要在数据链路层封装为有MAC地址的帧后才能发 送。但是32bit的IP地址和48bit的MAC地址之间没有简单 的映射关系。
ARP协议的安全问题及其解决方案
MAC 地址 , 者 找 出 M A 地址 所 对 应 的 I 址 。 域 网 上 或 C P地 局
黑 客 可 能在 未 经 授 权 的 前提 下 尝 试 去 改 变 A RP表 中 的 MAC 与 I 址 信 息 , 而 伪 装 其 MAC 地 址 或 者 I 址 来 P地 从 P地 发 起 如 下 2种 类 型 的 攻 击 : () 绝 服 务 攻 击 ( 1拒 DOS )
确保该设备不会重复对 已经联 系上的设备的 A RP请求 。
很 显 然 , R 的脆 弱性 在 于 不 验 证 请 求 或 者 应 答 者 的 信 A P 息是否属实 , 其是对 应答者 的信息未加 验证 , 导致 A 尤 将 RP 表 中 建 立 的 MAC 地 址 与 I P地址 之 间 的 映 射 关 系 出 现 错 误 。 这些错误可能导致的后果 有 : 网络 上 的 设 备 通 信 受 到 干 扰 乃
成 很 多 威 胁 , 更 多 地 受 到 关 注 。本 文 综 合 分 析 了 各 种 A 也 RP
安 全 问题 以 及相 应 的解 决 方 法 , 同 时 也 从 根 本 上 分 析 A RP 安 全 问 题 的 原 因 , 提 出 一种 彻 底 解 决 A 并 RP问题 的 思路 。
址 。MAC 地址 是 设 备 网 络接 口的 物 理 地 址 ,大 部 分 设 备 的
MAC 地 址 不 能 改 变 , I 址 却 可 能 随 着 机 器 所 处 于 的 网络 P地 不 同 而发 生 变 化 。 RP用 来 把 设 备 的 I 址 匹 配 ( 者 说 解 A P地 或
析 ) 它 自 己 的 MAC地 址 , 之亦 然 。A P 的 工作 方 式 是 向 成 反 R
1 引言
黑 客 可 能在 未 经 授 权 的 前提 下 尝 试 去 改 变 A RP表 中 的 MAC 与 I 址 信 息 , 而 伪 装 其 MAC 地 址 或 者 I 址 来 P地 从 P地 发 起 如 下 2种 类 型 的 攻 击 : () 绝 服 务 攻 击 ( 1拒 DOS )
确保该设备不会重复对 已经联 系上的设备的 A RP请求 。
很 显 然 , R 的脆 弱性 在 于 不 验 证 请 求 或 者 应 答 者 的 信 A P 息是否属实 , 其是对 应答者 的信息未加 验证 , 导致 A 尤 将 RP 表 中 建 立 的 MAC 地 址 与 I P地址 之 间 的 映 射 关 系 出 现 错 误 。 这些错误可能导致的后果 有 : 网络 上 的 设 备 通 信 受 到 干 扰 乃
成 很 多 威 胁 , 更 多 地 受 到 关 注 。本 文 综 合 分 析 了 各 种 A 也 RP
安 全 问题 以 及相 应 的解 决 方 法 , 同 时 也 从 根 本 上 分 析 A RP 安 全 问 题 的 原 因 , 提 出 一种 彻 底 解 决 A 并 RP问题 的 思路 。
址 。MAC 地址 是 设 备 网 络接 口的 物 理 地 址 ,大 部 分 设 备 的
MAC 地 址 不 能 改 变 , I 址 却 可 能 随 着 机 器 所 处 于 的 网络 P地 不 同 而发 生 变 化 。 RP用 来 把 设 备 的 I 址 匹 配 ( 者 说 解 A P地 或
析 ) 它 自 己 的 MAC地 址 , 之亦 然 。A P 的 工作 方 式 是 向 成 反 R
1 引言
ARP协议分析
ARP协议分析一、实验目的1.分析arp协议的工作过程。
2.了解arp请求报文格式和响应报文格式。
二、实验原理首先,每台主机都会在自己的ARP缓冲区中建立一个 ARP列表,以表示IP地址和MAC地址的对应关系。
当源主机需要将一个数据包要发送到目的主机时,会首先检查自己 ARP列表中是否存在该 IP地址对应的MAC地址,如果有,就直接将数据包发送到这个MAC地址;如果没有,就向本地网段发起一个ARP请求的广播包,查询此目的主机对应的MAC地址。
此ARP请求数据包里包括源主机的IP地址、硬件地址、以及目的主机的IP地址。
网络中所有的主机收到这个ARP请求后,会检查数据包中的目的IP是否和自己的IP地址一致。
如果不相同就忽略此数据包;如果相同,该主机首先将发送端的MAC地址和IP地址添加到自己的ARP列表中,如果ARP表中已经存在该IP的信息,则将其覆盖,然后给源主机发送一个 ARP响应数据包,告诉对方自己是它需要查找的MAC地址;源主机收到这个ARP响应数据包后,将得到的目的主机的IP地址和MAC地址添加到自己的ARP列表中,并利用此信息开始数据的传输。
如果源主机一直没有收到ARP响应数据包,表示ARP查询失败。
三、实验步骤1.打开wireshark。
2. 调设wireshark,设置为接收arp的包。
3.输入arp –d;输入arp –a;输入ping 192.168.1.103抓到4帧arp的包。
输入arp –a主机学到一条mac地址对应ip经查证:主机ip为192.168.1.102的电脑学到两条动态映射分别是192.168.1.108 **-**-**-**-**-**(mac地址)192.168.1.103 **-**-**-**-**-**(mac地址)(这里有疑问,为什么会学到???)这说明arp是在局域网内广播的4.分析arp包第一帧硬件类型:ethernet协议类型:ip类型硬件地址长度:6字节协议地址长度:4字节操作类型:1(请求)源MAC地址:e0:06:e6:92:70:48源IP地址:192.168.1.108目标MAC地址:00:00:00:00:00:00(这是填充的,实际是ff:ff:ff:ff:ff:ff) 目标IP地址:192.168.1.103这是一个广播包第二帧硬件类型:ethernet协议类型:ip类型硬件地址长度:6字节协议地址长度:4字节操作类型:2(应答)源MAC地址:00:90:a2:cd:ec:67源IP地址:192.168.1.103目标MAC地址:e0:06:e6:92:70:48目标IP地址: 192.168.1.108这是一个应答单播包本来第三帧应为单播,但却是广播按理第一帧192.168.1.108发给192.168.1.103时103已经学到108的mac地址,但此时又发广播问108的mac地址(注明:这4帧是在一秒内抓到的)第四帧为目前尚未搞懂第三帧为什么是广播;ARP协议分析结束。
ARP攻击原理分析与防范安全策略
ARP攻击原理分析与防范安全策略摘要:ARP协议是网络中很重要协议之一,对网络安全具有重要的意义。
一些黑客通过伪造IP地址和MAC地址实现ARP欺骗,造成网络中断或中间人攻击。
本文通过分析ARP协议攻击原理,提出防止ARP攻击的安全策略。
关键词:ARP协议原理分析安全策略在网络实际环境中,攻击和欺骗行为的来源可概括为两个途径:人为实施;病毒或蠕虫。
人为实施通常是指使用一些黑客的工具对网络进行扫描和嗅探,获取管理帐户和相关密码,在网络上中安插木马,从而进行进一步窃取机密文件。
攻击和欺骗过程往往比较隐蔽和安静,但对于信息安全要求高的企业危害是极大的。
而来自木马或者病毒及蠕虫的攻击却往往会偏离攻击和欺骗本身的目的,现象有时非常直接,会带来网络流量加大、设备的CPU利用率过高、二层设备环路直至网络瘫痪。
一、ARP攻击原理分析ARP协议是“Address Resolution Protocol”(地址解析协议)的缩写。
在局域网中,网络中实际传输的是“帧”,帧包括源主机MAC地址及目标主机的MAC 地址。
在以太网中,一个主机要和另一个主机进行直接通信,必须要知道目标主机的MAC地址。
但如何获目标主机MAC地址的呢?它就是通过ARP地址解析协议获得的。
所谓“地址解析”就是主机在发送帧前将目标主机的IP地址转换成目标主机的MAC地址的过程。
ARP协议基本功能就是通过目标设备的IP地址,查询目标设备的MAC地址,以保证通信的顺利进行。
如图1.1所示,我们以主机PC1(192.168.1.1)向主机PC2(192.168.1.2)发送数据为例。
当发送数据时,主机PC1会在自己的ARP缓存表中寻找是否有目标IP地址。
如果找到了,也就知道了目标MAC地址,直接把目标MAC地址写入帧里面发送就可以了;如果在ARP缓存表中没有找到相对应的IP地址,主机PC1就会在网络上发送一个广播,目标MAC地址是FF-FF-FF-FF-FF-FF,这表示向同一网段内的所有主机发出这样的询问:“192.168.1.2的MAC地址是什么?”,网络上其他主机并不响应ARP询问,只有主机PC2接收到这个帧时,才向主机PC1做出这样的回应:“192.168.1.2的MAC地址是BB-BB-BB-BB-BB-BB”。
ARP协议的网络安全性研究
ARP协议的网络安全性研究ARP协议是一种网络协议,用于在不同的网络节点之间映射IP地址和MAC地址。
ARP协议在通讯过程中起到了重要的作用,然而,它也有一些安全漏洞和风险。
本文将对ARP协议的网络安全性进行研究。
首先,ARP欺骗是ARP协议安全性的一大问题。
ARP欺骗是一种攻击方式,攻击者通过伪造MAC地址,欺骗目标设备的ARP缓存,使其通过错误的MAC地址发送数据包,从而达到窃取信息、中断网络等目的。
ARP欺骗攻击会给网络带来严重威胁,特别是在传递机密数据时。
其次,ARP协议没有身份验证机制,这也是其存在的一大安全问题。
在ARP协议中,每个设备都可以发送ARP请求和ARP响应,没有任何限制。
因此,攻击者可以轻易地修改ARP响应数据包,并欺骗目标设备,进而进行攻击。
这种情况会造成网络数据的泄露和安全性的下降,尤其是在多人网络模式下。
再次,ARP协议没有加密机制,这也是其存在的安全问题之一。
ARP协议中发送的数据包可以被轻易地捕获和读取,这样不仅容易导致机密信息泄露,还容易导致黑客攻击等。
为了解决ARP协议存在的安全问题,可以采取以下措施:1、使用静态ARP缓存。
静态ARP缓存是一种手动配置的ARP表,可以手动将MAC地址和IP地址联系起来,限定硬件地址与ip地址的映射关系,这样能够保证MAC地址的准确性,防止欺骗攻击。
2、使用ARP协议安全检测技术。
通过记录和检测网络中ARP请求和ARP响应数据包,及时发现和阻止欺骗攻击和其他安全问题。
3、使用MAC地址绑定。
对需要连接的设备MAC地址进行绑定,只允许指定的MAC地址与IP地址进行绑定,可以有效防止ARP欺骗攻击。
4、使用网络流量监控工具。
通过对网络流量进行实时监控,及时发现异常的ARP流量,实施针对性的防范措施。
综上所述,ARP协议安全性是一个极其重要的问题,攻击者利用ARP协议的安全漏洞实施攻击,可能会导致网络机密信息泄露、网络中断等一系列严重后果。
ARP协议解析与应用
ARP协议解析与应用ARP(Address Resolution Protocol),地址解析协议,是一种用于在局域网中将IP地址解析为对应MAC地址的协议。
在计算机网络中,IP地址用于标识网络中的设备,而MAC地址则是用于标识设备的物理地址。
ARP协议的作用是通过IP地址查询对应的MAC地址,以实现数据的传输。
在本文中,我们将对ARP协议进行解析,并探讨其在实际应用中的作用与功能。
一、ARP协议概述1. ARP协议的定义ARP协议是一种地址解析协议,其作用是根据IP地址查询对应的MAC地址。
它通过广播的方式发送ARP请求,在局域网中寻找目标设备的MAC地址,以便进行数据传输。
一旦获取到目标设备的MAC地址,就可以通过以太网(Ethernet)传输层实现数据的传输。
2. ARP协议的工作原理ARP协议的工作原理可以分为以下四个步骤:a) 发送ARP请求:源设备向网络中的所有设备发送ARP请求,请求目标设备的MAC地址。
b) 目标设备响应ARP请求:目标设备接收到ARP请求后,将其MAC地址作为ARP响应发送给源设备。
c) 源设备收到ARP响应:源设备接收到目标设备的ARP响应后,将其存储在本地的ARP缓存中,以便将来的数据传输。
d) 数据传输:源设备通过目标设备的MAC地址将数据进行传输。
二、ARP协议的应用1. IP地址与MAC地址转换ARP协议的主要应用是实现IP地址与MAC地址之间的转换。
当一个设备需要与网络中的另一个设备进行通信时,首先需要知道目标设备的MAC地址,而通过ARP协议,可以通过目标设备的IP地址查询到其对应的MAC地址,从而实现数据的传输。
2. ARP缓存管理每次进行ARP请求响应之后,源设备会将目标设备的IP地址与MAC地址存储在本地的ARP缓存中,以便将来的数据传输。
ARP缓存管理是对这些缓存条目进行管理和维护的过程。
当ARP缓存中的某条目过期或者失效时,源设备会重新发送ARP请求以更新对应的MAC地址。
ARP协议分析实验报告
计算机网络实验报告学院软件学院年级2013班级4班学号3013218158姓名闫文雄2015 年 6 月17 日目录实验名称----------------------------------------------------------------------------------- 1 实验目标----------------------------------------------------------------------------------- 1 实验内容----------------------------------------------------------------------------------- 1 实验步骤----------------------------------------------------------------------------------- 1 实验遇到的问题及其解决方法-------------------------------------------------------- 1 实验结论----------------------------------------------------------------------------------- 1一、实验名称ARP协议分析二、实验目标熟悉ARP命令的使用,理解ARP的工作过程,理解ARP报文协议格式三、实验内容以及实验步骤:(局域网中某台计算机,以下称为A计算机)ARP(地址解析协议):地址解析协议,即ARP(Address Resolution Protocol),是根据IP地址获取物理地址的一个TCP/IP协议。
主机发送信息时将包含目标IP地址的ARP请求广播到网络上的所有主机,并接收返回消息,以此确定目标的物理地址;收到返回消息后将该IP地址和物理地址存入本机ARP缓存中并保留一定时间,下次请求时直接查询ARP缓存以节约资源。
北邮大三下internet技术 测试网络状态、验证地址解析协议 ARP 的工作过程、分析典型 P2P 软件的工作过程
实验名称使用网络测试工具测试网络状态实验目的1.学习常用网络测试工具的基本功能和使用方法。
2.总结并设计使用网络测试工具测试网络状态的方法。
实验环境Windows XP操作系统通过校园网与Internet连接完成人薛玥完成时间2014.5.1实验步骤与结果分析1、使用ping命令测试计算机之间的连通性(1)弄清楚如何在本地计算机上运行ping程序。
在开始界面选择运行,并输入“cmd”打开窗口。
(2)测试本地计算机(ping127.0.0.1),确定ping程序运行正确。
通过上面的截图可以看到,ping127.0.0.1的返回信息数据包,已发送为4,已接受为4,丢失为0;往返行程时间最大、最小和平均都为0毫秒。
(3)使用ping命令确定北邮是否可达。
同样,根据上图可以看到,往返时长最短为0毫秒,最长为0毫秒,平均为0.说明不可达,检查后发现,由于我的电脑比较老,没有打开ipv6协议,使用命令行安装ipv6协议,如下图所示。
然后再次即可ping通,如下图。
但是,尝试在不联网的情况下,则连接失败,如下图所示。
提示ping请求找不到主机。
(4)使用搜索引擎找到另一个国家的计算机,ping该计算机。
你发现的最大往返延迟是多大?①尝试ping ,多次ping发现请求超时,如下图所示。
②尝试ping ,如下图所示,最多需要351毫秒。
(5)当某台计算机无法正常访问远程某网站时,请问如何使用Ping命令测试和定位故障的位置。
通过查找资料,可以通过一下步骤来测试和定位。
①ping127.0.0.1。
Ping通则表示TCP/IP协议正常工作,失败的话应检查本地网络设置中设置。
②ping本地IP。
能ping通则表明网络适配器正常工作,失败则要检查网线等是否有故障。
③ping一台同网段的计算机IP。
这个可以先ping路由器,通则继续ping同一网段的主机IP进行测试。
④ping默认网关。
无法ping通,则将主机连接路由器,再次测试。
根据arp协议的工作机制分析存在何种安全隐患总结防范与对策办法
根据arp协议的工作机制分析存在何种安全隐患?总结防范与对策办法篇一:实验三理解ARP协议实验三理解ARP协议一.实验目的1.深入理解ARP(地址解析协议)的工作原理和重要作用。
2.能够使用ARP命令选路表(下文简称ARP表)进行简单操作。
二.实验环境1.运行WindowsXX/XX Server/XP操作系统的PC一台.2.每台PC具有一块以太卡,通过双绞线与局域相连.3.每台PC运行程序协议分析仪Ethereal.三.实验步骤(1)使用ARP命令打开“命令提示符”界面,键入“arp – a”指令查看本机ARP表中的内容,结果如下图所示。
注意,在ARP表中,各主机的逻辑地址与物理地址是一一对应的,由此形成表项。
主机之间进行物理通信前,首先要查找本机ARP表,如果有对应项,则将通信对方的IP地址转换为相应的物理地址。
“Type”栏下的“dynamic”字段表明该表项处在动态更新中。
如果20分钟内没有其他访问络的操作,ARP表会自动清空如果不想等待20分钟,可使用“arp-d”命令主动清空ARP表的内容。
此时再执行“arp-a”命令,会发现ARP表已经清空。
我们还可以使用“arp-s”命令手工设置ARP表表项,如“arp-s 00-cd-0d-33-00-34”。
(2)分析ARP协议工作过程具体操作步骤是:1)2)3)4)在实验单元中选择两台机器,清除ARP表中的所有项。
运行Ethereal程序,执行分组俘获操作。
向另一台机器发送Ping包。
分析ARP协议执行的全过程,并画出ARP 协议的状态转移图。
(3)用ARP命令查找IP地址冲突主机若络上有两台或多台主机设置了相同的IP地址,那麽主机的屏幕上会频繁出现IP地址冲突的提示,这将严重影响络工作秩序。
如果能同时观察到这些主机,那麽通过修改其中一台主机的IP地址即可解决问题。
但是如果我们仅能观察到其中的一台PC提示“IP地址如冲突”,那麽应如何确定是哪两台主机设置了相同的IP地址呢?首先,我们将该报警主机的IP地址修改为一个未用地址。
网络安全的arp
网络安全的arpARP(Address Resolution Protocol)是一种用来完成IP地址和物理MAC地址之间的映射关系的协议,是实现局域网中主机之间通信的重要底层协议。
然而,ARP协议也带来了一些安全隐患,以下是关于ARP安全的一些内容。
首先,ARP欺骗是一种常见的网络攻击手段,攻击者发送伪造的ARP响应包,让受害主机将正确的IP地址和伪造的MAC地址关联起来。
这样攻击者就可以截获或篡改受害主机和其他主机之间的通信,甚至进行中间人攻击。
为了防止ARP欺骗,可以使用静态ARP绑定或使用ARP防护工具,以确保IP地址和MAC地址的映射关系正确。
其次,ARP缓存污染也是一种常见的ARP攻击方式。
攻击者发送大量的伪造ARP请求包,使得网络设备的ARP缓存被填满,无法正确响应其他设备的ARP请求,造成网络通信中断。
为了防止ARP缓存污染,可以定期清除ARP缓存,设备也可以使用一些防火墙或IPS(Intrusion Prevention System)来检测和拦截恶意的ARP请求。
此外,网络中的ARP劫持也是一种常见的安全问题。
攻击者在网络中设置恶意的ARP劫持装置,将通信数据重定向到攻击者控制的主机上进行监控或篡改。
为了防止ARP劫持,可以使用加密通信、使用VPN(Virtual Private Network)建立安全通道等方式,确保数据的机密性和完整性。
总之,网络安全中的ARP问题需要引起足够的重视。
通过采取合适的安全措施,如静态ARP绑定、ARP防护工具、ARP 缓存清除和检测恶意ARP请求等,可以提高网络的安全性,减少ARP相关攻击的风险。
- 1、下载文档前请自行甄别文档内容的完整性,平台不提供额外的编辑、内容补充、找答案等附加服务。
- 2、"仅部分预览"的文档,不可在线预览部分如存在完整性等问题,可反馈申请退款(可完整预览的文档不适用该条件!)。
- 3、如文档侵犯您的权益,请联系客服反馈,我们会尽快为您处理(人工客服工作时间:9:00-18:30)。
ARP协议及其安全性分析
姓名:杨帆学号:2011210518
一,利用wireshark进行抓包,查看数据包内容和结构,分析ARP协议。
1,通过命令行,查看本机IP地址及MAC地址
结果如下图:
如上图所示,WLAN下,本机MAC地址是74:e5:0b:49:1E:56;本机IP为10.8.166.31(教二连接BUPT2)
2.清除arp缓存
3.使用ping命令连接局域网内主机
4.使用wireshark抓取数据包,查看本机请求。
5.分析数据包结构
arp数据包结构如下图:
抓取的请求数据包如下图:
从图中可以看出以下信息:
(1)目的MAC地址是全1,说明这是一个广播包(broadcast)
(2)源MAC地址74:e5:0b:49:1E:56,说明此ARP包由本机发出
(3)帧类型为0x0806,表示这是ARP包(IP包是0x0800)
(4)硬件类型是0x0001(以太网),协议类型是0x0800(IP协议),硬件地址长度为6(即MAC地址长度),协议地址长度为4(IPv4),该数据包为request类型(0x0001)
(5)发送者MAC地址:74:e5:0b:49:1E:56
(6)发送者IP为10.8.166.31,证明ARP数据包由本机发出
(7)接受者硬件地址全零,表示此ARP数据包为广播包(ARP回复者未知);
(8)所请求的IP地址为10.8.183.80
6.抓取对本机发出请求的回复数据包
7.分析回复数据包的内容
从图中可以看出以下信息:
(1)目的MAC地址是74:e5:0b:49:1E:56,说明这是由源主机发送给本机的数据包
(2)源MAC地址34:23:ba:f5:3a:9f,说明MAC地址为34:23:ba:f5:3a:9f的主机接收到本机发出的广播数据包后向本机发出回复数据包
(3)帧类型为0x0806,表示这是ARP包(IP包是0x0800)
(4)硬件类型是0x0001(以太网),协议类型是0x0800(IP协议),硬件地址长度为6(即MAC地址长度),协议地址长度为4(IPv4),该数据包为reply类型(0x0002)
(5)发送者MAC地址:34:23:ba:f5:3a:9f
(6)发送者IP为10.8.183.80,证明ARP数据包由本机请求的主机发出
(7)接受者硬件地址74:e5:0b:49:1E:56,表示此ARP数据包向本机特定发出,源主机从接收到的request数据包中得知本机MAC地址
(8)所请求的IP地址为10.8.166.31,为本机IP地址
8.ARP协议原理
ARP协议用来在只知道IP地址的情况下去发现设备的硬件地址(Media Access Control, MAC地址),其设计目的是用于不同的物理网络层。
当发出请求的设备(源主机)不知道目标(目的主机)的MAC地址,它就会使用以太广播包给网络上的每一台设备发送ARP请求,当一台设备收到一个ARP请求数据包时,它用它自己的IP地址与包头部的IP地址比对,若匹配,该设备(目的主机)就会回送一个ARP回应数据包给源主机,该数据包不是广播包,当源主机收到ARP回应后,它会把结果存放在缓冲区内。
只要设备给缓冲区中的某目标发送数据,缓冲区就是有效的,这样有助于减少网络上广播包的数量。
若设备暂停发送数据,那么缓冲区会在一定时间(一般是5分钟)后清除该条MAC-IP 的对应关系项。
二,分析ARP协议存在的安全威胁
当攻击者发现一个ARP请求,用无效的ARP应答回应。
这能造成ARP缓冲区中填满错误信息。
由于ARP请求是广播包,因此网络中的每个设备都将发现这个请求。
攻击者需要在真正的ARP应答到达以前,向受害者发送ARP应答。
一些主机将探测到因相互冲突的结果导致多个ARP应答,并标识为警告。
攻击的结果是一个无效的MAC地址被放到受害者的ARP缓冲区中,这将阻止受害者与目标设备之间的通信。
另一个结果是在攻击者发送带有MAC地址的虚假ARP应答给另一个攻击者,造成收到这个ARP应答的主机把数据包发送到错误的主机,这常常被称为ARP缓冲区中毒。
ARP欺骗就是上述威胁的一个实例。
黑客等通过截获网关数据,并通知路由器一系列
错误的内网MAC地址,并按照一定的频率不断进行,使真实的地址信息无法通过更新保存在路由器中,结果路由器的所有数据只能发送给错误的MAC地址,造成正常PC无法收到信息。
或是伪造网关,建立假网关,让被它欺骗的PC向假网关发数据,而不是通过正常的路由器途径上网。
在PC看来,就是上不了网了,“网络掉线了”。
一般来说,ARP欺骗攻击的后果非常严重,大多数情况下会造成大面积掉线。