ARP欺骗原理分析与攻防实战演练

格式：ppt
大小：106.50 KB
文档页数：13

下载文档原格式

/ 13

实验I ARP攻击的攻击方法、攻击原理、判断、解决和防范

实验I ARP攻击的攻、判、防ARP攻击不是病毒——几乎所有的杀毒软件对之都无可奈何；但却胜似病毒——因它轻可造成通信变慢、网络瘫痪，重会造成信息的泄密。

多年来，ARP攻击一直存在，却没有一个好的解决办法。

很多网络用户深受其害，网管人员更是无从下手、苦不堪言。

本实验从分析ARP协议和欺骗原理入手，告诉读者如何实施ARP攻击，如何判断正在遭受ARP 攻击，如何防范和解决ARP攻击。

1. ARP协议及欺骗原理（1）以太网的工作原理。

以太网中，数据包被发送出去之前，首先要进行拆分（把大的包进行分组）、封装（在Network层添加源IP地址和目标的IP地址，在Data Link层添加源MAC地址和下一跳的MAC地址），变成二进制的比特流，整个过程如图I-1所示。

数据包到达目标后再执行与发送方相反的过程，把二进制的比特流转变成帧，解封装（Data Link层首先比较目标的MAC是否与本机网卡的MAC相同或者是广播MAC，如相同则去除帧头，再把数据包传给Network层，否则丢弃；Network层比较目的地IP地址是否与本机相同，相同则继续处理，否则丢弃）。

如果发送方和接收方位于同一个网络内，则下一跳的MAC就是目标的MAC，如发送方和接收方不在同一个网络内，则下一跳的MAC就是网关的MAC。

从这个过程不难发现，以太网中数据的传速仅知道目标的IP地址是不够的，还需要知道下一跳的MAC地址，这需要借助于另外一下协议，ARP（地址解析协议）。

图I-1 数据的封装和解封装（2）ARP的工作原理。

计算机发送封装数据之前，对比目标IP地址，判断源和目标在不在同一个网段，如在同一网段，则封装目标的MAC；如不在同一网段，则封装网关的MAC。

封装之前，查看本机的ARP缓存，看有没有下一跳对应的IP和MAC映射条目，如有，则直接封装；如没有，则发送ARP查询包。

ARP查询和应答包的格式如图I-2所示，查询包中：“以太网目的地址”为0xffffffffffff广播地址，“以太网源地址”为本机网卡的MAC地址，“帧类型”为0x0806表示ARP应答或请求，“硬件类型”为0x0001表示以太网地址，“协议类型”为0x0800表示IP地址，“OP”为ARP的请求或应答，ARP请求包的OP值为1，ARP应答包的OP值为2，“发送端以太网地址”为发送者的MAC地址，“发送端IP”为发送者的IP地址，“目的以太网地址”这里为0x000000000000，“目的IP”为查询MAC地址的IP。

ARP欺骗攻击及其防御

目录
1. 2. 3. 4. ARP定义 ARP攻击的原理 ARP攻击实例 ARP攻击的防范措施
ARP的定义
• ARP是地址转换协议的英文缩写，用于将计算机的网络地址（32位的IP地址）转化为物理地址（48位的MAC地址）属于链路层协议
而ARP攻击就是指黑客利用ARP协议缺陷的基本原理，通过在区域内一台终端或服务器上发布欺骗ARP广播包以达到进行盗取用户帐号、篡改网站内容、嵌入恶意代码、发布不良信息、监听传输数据等非法活动的目的。
否
发广播包Ｂ的ＭＡＣ是多少 C回答MAC CCCCCC
是
读取 ARP缓存表
更新 A 的 ARP缓存表
连接B
错误连接 CCCCCC
ARP攻击实例
• 系统环境：两台同一局域网的电脑攻击电脑使用工具Arp cheat and sniffer v2.1 并安装WinPcap_4_1_2 （要做嗅探就要安装这个软件） • 目标IP 10.132.245.72 网关 10.132.245.254 端口80
正常ARP查询流程
Ａ连接Ｂ
ARP欺骗流程
Ａ连接Ｂ
需要知道Ｂ的的ARP 缓存表是否有Ｂ的ＭＡＣ是读取ARP缓存表
否
发广播包Ｂ的ＭＡＣ是多少Ｂ回答MAC ｂｂｂｂｂｂ更新 A 的 ARP缓存表
Ａ的 ARP 缓存表是否有Ｂ的ＭＡＣ
ARP欺骗攻击原理
• 每台主机的ARP表的更新是信任广播域内所有机器的应答包，也就是在说在ARP协议中，接受回应帧的主机无法验证应答包的真伪。而是直接用应答包里的MAC地址与IP地址替换掉ARP缓存表中原有的相应信息 • 由于ARP 缓存表项是动态更新的，其生命周期默认是两分钟 • 所以很容易进行欺骗的。

ARP欺骗原理分析与攻防实战演练PPT课件

2.配置 (1)全局下配置启用dhcp snooping 并指定需要侦听的vlan ip dhcp snooping ip dhcp snooping vlan 1-3 (2)对与uplink上联端口或接dhcp服务器的接口上配置为信任端口 int f0/24 ip dhcp snooping trust (3)对于接dhcp客户端的pc的交换机端口上配置 int range f0/1-2 no ip dhcp snooping trust //缺省就是非信任端口 ip dhcp snooping limit rate 10 //10pps 最多每秒只收10个dhcp请求报问（4）查看命令 show ip dhcp snooping binding 作用：为了防止ip地址欺骗，可配置在二层交换机的端口上过滤非法的ip地址
目录
ARP欺骗的危害什么是ARP协议 ARP欺骗的原理 ARP攻防实战 ARP安全防范
第1页
ARP欺骗的危害
ARP欺骗可以造成内部网络的混乱，让某些被欺骗的计算机无法正常访问内外网，让网关无法和客户端正常通信。实际上他的危害还不仅仅如此，一般来说IP地址的冲突我们可以通过多种方法和手段来避免，而ARP协议工作在更低层，隐蔽性更高。系统并不会判断ARP缓存的正确与否，无法像IP地址冲突那样给出提示。而且很多黑客工具例如网络剪刀手等，可以随时发送ARP欺骗数据包和ARP恢复数据包，这样就可以实现在一台普通计算机上通过发送ARP数据包的方法来控制网络中任何一台计算机的上网与否，甚至还可以直接对网关进行攻击，让所有连接网络的计算机都无法正常上网。这点在以前是不可能的，因为普通计算机没有管理权限来控制网关，而现在却成为可能，所以说ARP欺骗的危害是巨大的，而且非常难对付，非法用户和恶意用户可以随时发送ARP欺骗和恢复数据包，这样就增加了网络管理员查找真凶的难度。那么难道就没有办法来阻止ARP欺骗问题的发生吗？

arp欺骗攻击的原理

arp欺骗攻击的原理ARP欺骗攻击的原理ARP（Address Resolution Protocol）是一种用于将IP地址转换为MAC地址的协议。

在网络通信中，每个主机都有一个唯一的MAC地址和IP地址，主机之间通过MAC地址进行通信。

而ARP协议就是用来获取目标主机的MAC地址的。

ARP欺骗攻击就是指攻击者通过伪造ARP响应包，向网络中的其他主机发送虚假信息，从而使得攻击者可以截获网络数据包并进行监听、篡改等恶意行为。

下面将详细介绍ARP欺骗攻击的原理。

第一部分： ARP协议基础知识1. ARP协议工作原理当一个主机需要向另一个主机发送数据时，首先需要知道目标主机的MAC地址，这时候就会使用ARP协议来获取目标主机的MAC地址。

具体流程如下：1) 主机A发送一个ARP请求包，在请求包中包含了目标IP地址；2) 网络中所有其他主机都会接收到这个请求包；3) 目标主机B收到该请求包后，会向A发送一个ARP响应包，在响应包中携带自己的MAC地址；4) 主机A收到响应包后，就可以知道目标B的MAC地址了，并将此信息保存在本地ARP缓存中。

这样，当主机A需要向主机B发送数据时，就可以直接使用目标B的MAC地址进行通信了。

2. ARP欺骗攻击原理ARP欺骗攻击者通过伪造ARP响应包，向网络中的其他主机发送虚假信息，从而使得攻击者可以截获网络数据包并进行监听、篡改等恶意行为。

具体步骤如下：1) 攻击者首先要获取目标主机的IP地址和MAC地址；2) 攻击者伪造一个ARP响应包，将自己的MAC地址伪装成目标主机的MAC地址，并将自己的IP地址与目标主机的IP地址对应；3) 网络中其他主机收到该ARP响应包后，会将攻击者的MAC地址保存在本地ARP缓存中，并将其作为目标主机的MAC地址进行通信；4) 攻击者就可以截获网络数据包，并进行监听、篡改等恶意行为。

第二部分： ARP欺骗攻击实例分析下面以实例来分析一下ARP欺骗攻击是如何实现的。

简述arp欺骗攻击的原理和防范对策

简述arp欺骗攻击的原理和防范对策ARP（Address Resolution Protocol）欺骗攻击是一种网络攻击技术，它利用ARP协议的特性进行欺骗、中间人攻击或局域网内的ARP 缓存中毒。

攻击者发送虚假的ARP响应消息来欺骗其他网络设备，使其将流量发送给攻击者，从而实现对网络通信的窃听、修改或阻断。

ARP协议是将IP地址映射到物理MAC地址的协议，通过向局域网中广播ARP请求，获取目标IP地址对应的MAC地址。

正常情况下，ARP请求是一个广播消息，网络上所有的设备都能收到该消息并回应自己的MAC地址。

然而，攻击者可以发送伪造的ARP响应消息，将自己的MAC地址伪装成目标的MAC地址。

这样，其他网络设备在收到欺骗者的ARP响应后，会将网络流量发送到欺骗者的MAC地址，从而攻击者就可以进行中间人攻击。

ARP欺骗攻击的原理主要包括以下几个步骤：广播欺骗请求、单播响应欺骗响应、IP间隔设备攻击、流量截获及篡改。

防范ARP欺骗攻击需要采取多层次的安全措施，包括物理层安全、网络设备安全和安全策略的制定。

一、物理层安全防范1.硬件设备安全：保证网络设备的物理安全，避免被攻击者直接接触或篡改网络设备。

2.网线加密：使用数字加密技术或物理加密设备，对通信网络中的网线进行加密处理，避免ARP欺骗攻击者通过在网线上截获数据。

3. MAC地址绑定：通过网络硬件设备的管理接口，将MAC地址与设备绑定，限制非法设备访问网络，避免ARP欺骗攻击者伪造MAC地址来进行攻击。

二、网络设备防范1.安全认证机制：为网络设备设置访问口令或使用其他身份验证方法，只允许授权设备进行网络操作，避免非法设备接入网络。

2. MAC地址过滤：设置ACL（Access Control List）策略，限制网络中不合法的MAC地址出现，只允许合法设备进行通信。

3. ARP缓存绑定：为网络设备的ARP缓存表添加绑定条目，将IP 地址与MAC地址进行绑定，确保只有指定的MAC地址可以响应对应的IP地址。

ARP欺骗攻击原理及防御策略

ARP欺骗攻击原理及防御策略ARP（Address Resolution Protocol）欺骗攻击是一种利用ARP协议漏洞来冒充网络中台设备的MAC地址的攻击方式。

攻击者通过发送伪造的ARP响应包，将目标设备的IP地址与攻击者的MAC地址进行绑定，从而达到攻击的目的。

攻击原理：ARP协议是用于将IP地址解析为MAC地址的协议，其工作原理为：当主机A需要与主机B通信时，会先检查自己的ARP缓存表，查看是否有主机B的IP地址对应的MAC地址，若有，则直接发送数据包给主机B；若没有，则通过广播ARP请求包的方式询问网络中其他主机，寻找主机B 的MAC地址。

主机B收到ARP请求包后，会返回一个包含其IP地址和MAC地址的ARP响应包，主机A会将主机B的IP地址与MAC地址绑定，然后发送数据包给主机B。

ARP欺骗攻击利用了这个过程中的不安全性，攻击者可以发送伪造的ARP响应包来伪装自己的MAC地址，将目标设备的IP地址与自己的MAC 地址进行绑定，从而实现攻击。

攻击者可以在中间人位置上监视、修改或阻断通信流量，从而进行各种攻击，如中间人攻击、数据篡改、数据丢失等。

防御策略：为了防止ARP欺骗攻击，可以采取以下一些策略：1.静态ARP绑定：将网络中的设备的IP地址与MAC地址进行手动绑定，使得ARP欺骗攻击者无法通过发送伪造的ARP响应包来进行攻击。

这种方法适用于小型局域网，但对于大型网络来说管理起来不太方便。

2. ARP检测工具：使用ARP检测工具可以实时监测网络中的ARP请求和响应包，检测是否存在伪造的ARP包，及时发现潜在的ARP欺骗攻击。

常用的ARP检测工具包括Arpwatch、Cain & Abel等。

3.使用静态路由表：在网络设备上手动配置静态路由表，指定目标设备的MAC地址，避免使用ARP协议来解析MAC地址。

静态路由表可以防止ARP欺骗攻击者修改路由信息，而无需依赖ARP协议来解析MAC地址。

高手教你辨别ARP欺骗原理及防范被骗

高手教你辨别ARP欺骗原理及防范被骗经常听到身边的朋友说，自己电脑的网络又被啥啥攻击了，经常有一些不道德的人用ARP欺骗软件攻击别人，让很多人掉线，甚至让整个网络都瘫痪。

针对这个问题，我们首先先来了解下它的攻击原理及欺骗原理，深受其害的朋友们赶紧来看看。

一，ARP欺骗的原理如下：假设这样一个网络，一个Hub接了3台机器HostA HostB HostC 其中A的地址为：IP：192.168.10.1 MAC: AA-AA-AA-AA-AA-AAB的地址为：IP：192.168.10.2 MAC: BB-BB-BB-BB-BB-BBC的地址为：IP：192.168.10.3 MAC: CC-CC-CC-CC-CC-CC正常情况下C:\arp -aInterface: 192.168.10.1 on Interface 0x1000003Internet Address Physical Address Type192.168.10.3 CC-CC-CC-CC-CC-CC dynamic现在假设HostB开始了罪恶的ARP欺骗：B向A发送一个自己伪造的ARP应答，而这个应答中的数据为发送方IP地址是192.168.10.3(C的IP地址)，MAC地址是DD-DD-DD-DD-DD-DD(C的MAC地址本来应该是CC-CC-CC-CC-CC-CC，这里被伪造了)。

当A接收到B伪造的ARP应答，就会更新本地的ARP 缓存(A可不知道被伪造了)。

而且A不知道其实是从B发送过来的，A这里只有192.168.10.3(C的IP地址)和无效的DD-DD-DD-DD-DD-DD mac地址，没有和犯罪分子B相关的证据，哈哈，这样犯罪分子岂不乐死了。

现在A机器的ARP缓存更新了：C:\arp -aInterface: 192.168.10.1 on Interface 0x1000003Internet Address Physical Address Type192.168.10.3 DD-DD-DD-DD-DD-DD dynamic这可不是小事。

ARP欺骗攻击分析及防范措施

ARP欺骗攻击分析及防范措施ARP欺骗攻击（Address Resolution Protocol Spoofing Attack），也称为ARP缓存中毒攻击，是一种常见的网络攻击手段。

攻击者通过伪造ARP响应报文，将目标主机的IP地址与自己的MAC地址进行绑定，从而达到劫持网络流量、盗取敏感信息或进行中间人攻击等恶意目的。

本文将对ARP欺骗攻击进行分析，并提出相应的防范措施。

一、攻击原理分析1.ARP协议简介ARP（Address Resolution Protocol）是将IP地址与MAC地址进行匹配的协议，通过在局域网中的广播方式，发送ARP请求报文，等待目标主机响应，以获取目标主机的MAC地址。

目标主机接收到ARP请求后，会将自己的MAC地址发送给请求方，请求方在收到响应后将目标主机的IP地址与MAC地址进行绑定，并将其存储在自己的ARP缓存表中。

2.攻击原理在ARP欺骗攻击中，攻击者通过发送伪造的ARP响应报文，将目标主机的IP地址与自己的MAC地址进行绑定。

当目标主机收到该伪造的ARP响应报文后，会将攻击者的MAC地址存储到自己的ARP缓存表中。

然后，当其他主机需要与目标主机进行通信时，会将数据包发送给攻击者的MAC地址，攻击者可以拦截和篡改这些数据包，导致网络流量被劫持。

二、攻击过程分析1.发送ARP请求攻击者首先发送ARP请求报文，向网络中的所有主机请求目标主机的MAC地址。

这是一个广播的过程，所有主机都会收到该ARP请求报文。

2.伪造ARP响应目标主机收到ARP请求后，会根据请求方的IP地址将自己的MAC地址发送给请求方。

攻击者利用这个过程，伪造一个ARP响应报文，并将报文中的目标IP地址设为请求主机的IP地址，源MAC地址设为自己的MAC 地址。

3.欺骗目标主机目标主机收到伪造的ARP响应报文后，会将其中的目标IP地址与MA 地址进行绑定，并将其存储在ARP缓存表中。

此时，目标主机认为攻击者的MAC地址就是目标主机的MAC地址。

Arp欺骗原理及防范

A R P欺骗一、A R P欺骗原理：在TCP/IP网络环境下，一个IP数据包到达目的地所经过的网络路径是由路由器根据数据包的目的IP地址查找路由表决定的，但IP地址只是主机在网络层中的地址，要在实际的物理链路上传送数据包，还需要将IP数据包封装到MAC帧后才能发送到网络中。

同一链路上的哪台主机接收这个MAC帧是依据该MAC帧中的目的MAC地址来识别的，即除了同一链路上将网卡置为混杂模式的主机外，只有当某台主机的MAC地址和链路中传输的MAC帧的目的MAC地址相同时，该主机才会接收这个MAC帧并拆封为IP数据包交给上层模块处理。

因此，每一台主机在发送链路层数据帧前都需要知道同一链路上接收方的MAC地址，地址解析协议ARP正是用来进行IP地址到MAC地址的转换的。

同时为了避免不必要的ARP 报文查询，每台主机的操作系统都维护着一个ARP高速缓存ARP Cache，记录着同一链路上其它主机的IP地址到MAC地址的映射关系。

ARP高速缓存通常是动态的，该缓存可以手工添加静态条目，由系统在一定的时间间隔后进行刷新。

ARP协议虽然是一个高效的数据链路层协议，但作为一个局域网协议，它是建立在各主机之间相互信任的基础上的，所以ARP协议存在以下缺陷：ARP高速缓存根据所接收到的ARP协议包随时进行动态更新；ARP协议没有连接的概念，任意主机即使在没有ARP请求的时候也可以做出应答；ARP协议没有认证机制，只要接收到的协议包是有效的，主机就无条件的根据协议包的内容刷新本机ARP缓存，并不检查该协议包的合法性。

因此攻击者可以随时发送虚假ARP包更新被攻击主机上的ARP缓存，进行地址欺骗或拒绝服务攻击。

针对交换机根据目的MAC地址来决定数据包转发端口的特点，ARP欺骗的实现：假设主机C为实施ARP欺骗的攻击者，其目的是截获主机B和主机A之间的通数据，且主机C在实施ARP欺骗前已经预先知道A和B的IP地址。

这时C先发送ARP包获得主机B的MAC地址，然后向B 发送ARP Reply数据包，其中源IP地址为A的IP地址，但是源MAC地址却是主机C的MAC地址。

校园网ARP欺骗攻击分析及解决办法(0)

校园网ARP欺骗攻击分析及解决办法ARP攻击是当前校园网遇到的一个非常典型的安全威胁，受到ARP攻击后轻者会出现大面积间歇性掉线,重者还会窃取各类用户密码，如QQ密码、网络游戏密码、网上银行账号等。

作为一名学校的网管员，笔者在与多起ARP欺骗攻击的的斗争过程中，对如何在校园网内及时发现、防范查杀攻击源的具体处理上积累了一定的心得，现作一整理，供兄弟学校的各网管员们参考借鉴。

1、与APR病毒有关的几个概念1.1：IP地址在网络中，为了区别每台计算机，我们给每一台计算机都配置一个号码，这个号码我们就将它叫做IP地址，有了这个IP地址我们在利用网络进行上网、传递文件，进行局域网聊天时才不会将发送给A计算机的信息错发到其它的计算机上。

IP地址采用十进制数字表示,如192.168.0.25。

1.2、MAC地址：MAC地址也叫物理地址，它相当于我们身份证，是全球唯一的。

当计算机的IP地址发生变化时，MAC地址也能帮助我们在庞大的计算机网络中找到自己需要的计算机。

MAC地址通常表示为12个16进制数，每2个16进制数之间用冒号隔开，如：00:0F:E2:70:70:BC。

在XP系统环境下本机的IP与MAC地址信息我们可以执行IPCONFIG /ALL命令进行查询（如图1）。

1.3、ARP地址解析协议从上面可知,在计算机网络中，如果仅依靠IP地址去传递信息是要发生错误的，因为IP地址会发生变化的。

为保证网络中信息传递的准确性，在某些时候我们就需要将IP地址与MAC地址进行捆定，完成这个功能的就是ARP地址解析协议。

网络中的每台电脑，它都会收集网络上的各台计算机的IP地址与MAC地址信息，将它储存在一个叫“ARP缓存表”的地方，当机器A要向机器B发送信息，它会查询本地的ARP缓存表，找到与B的IP地址对应的MAC地址后，接着使用这个MAC地址发送数据。

2、ARP欺骗的原理分析在这假设有一个有三台计算机甲、乙、丙组成的局域网，其中甲感染了ARP木马病毒。

1、下载文档前请自行甄别文档内容的完整性，平台不提供额外的编辑、内容补充、找答案等附加服务。
2、"仅部分预览"的文档,不可在线预览部分如存在完整性等问题,可反馈申请退款(可完整预览的文档不适用该条件!)。
3、如文档侵犯您的权益，请联系客服反馈,我们会尽快为您处理(人工客服工作时间：9:00-18:30)。

第 5 页

第二步：正常情况下在A计算机上运行ARP -A查询ARP缓存表应该出现如下信息。
Hale Waihona Puke Interface: 192.168.1.1 on Interface 0x1000003 Internet Address Physical Address Type 192.168.1.3 CC-CC-CC-CC-CC-CC dynamic
目录
ARP欺骗的危害什么是ARP协议 ARP欺骗的原理 ARP攻防实战 ARP安全防范

第 1 页
ARP欺骗的危害

ARP欺骗可以造成内部网络的混乱，让某些被欺骗的计算机无法正常访问内外网，让网关无法和客户端正常通信。实际上他的危害还不仅仅如此，一般来说IP地址的冲突我们可以通过多种方法和手段来避免，而ARP协议工作在更低层，隐蔽性更高。系统并不会判断ARP缓存的正确与否，无法像IP地址冲突那样给出提示。而且很多黑客工具例如网络剪刀手等，可以随时发送ARP欺骗数据包和ARP恢复数据包，这样就可以实现在一台普通计算机上通过发送ARP数据包的方法来控制网络中任何一台计算机的上网与否，甚至还可以直接对网关进行攻击，让所有连接网络的计算机都无法正常上网。这点在以前是不可能的，因为普通计算机没有管理权限来控制网关，而现在却成为可能，所以说ARP欺骗的危害是巨大的，而且非常难对付，非法用户和恶意用户可以随时发送ARP欺骗和恢复数据包，这样就增加了网络管理员查找真凶的难度。那么难道就没有办法来阻止ARP欺骗问题的发生吗？
第 7 页

第四步：欺骗完毕我们在A计算机上运行 ARP -A来查询ARP缓存信息。你会发现原来正确的信息现在已经出现了错误。
Interface: 192.168.1.1 on Interface 0x1000003 Internet Address Physical Address Type 192.168.1.3 DD-DD-DD-DD-DD-DD dynamic

第 6 页

第三步：在计算机B上运行ARP欺骗程序，来发送ARP欺骗包。
B向A发送一个自己伪造的ARP应答，而这个应答中的数据为发送方IP地址是192.168.1.3（C的IP 地址），MAC地址是DD-DD-DD-DD-DD-DD（C 的MAC地址本来应该是CC-CC-CC-CC-CC-CC，这里被伪造了）。当A接收到B伪造的ARP应答，就会更新本地的ARP缓存（A可不知道被伪造了）。而且A不知道其实是从B发送过来的，A这里只有192.168.1.3（C的IP地址）和无效的DDDD-DD-DD-DD-DD mac地址。
*总结:ARP欺骗是把自己的MAC地址伪造成网关的地址来欺骗其它的主机
第 4 页

第一步：假设这样一个网络，一个Hub或交换机连接了3台机器，依次是计算机A，B，C。 A的地址为：IP：192.168.1.1 MAC: AA-AA-AAAA-AA-AA B的地址为：IP：192.168.1.2 MAC: BB-BB-BBBB-BB-BB C的地址为：IP：192.168.1.3 MAC: CC-CC-CCCC-CC-CC

第 8 页

从上面的介绍我们可以清楚的明白原来网络中传输数据包最后都是要根据MAC地址信息的，也就是说虽然我们日常通讯都是通过IP地址，但是最后还是需要通过ARP协议进行地址转换，将IP地址变为MAC地址。而上面例子中在计算机A上的关于计算机C的MAC地址已经错误了，所以即使以后从A计算机访问C计算机这个192.168.1.3这个地址也会被ARP协议错误的解析成MAC地址为DD-DD-DD-DD-DD-DD的。问题也会随着ARP欺骗包针对网关而变本加厉，当局域网中一台机器，反复向其他机器，特别是向网关，发送这样无效假冒的ARP应答信息包时，严重的网络堵塞就会开始。由于网关MAC地址错误，所以从网络中计算机发来的数据无法正常发到网关，自然无法正常上网。这就造成了无法访问外网的问题，另外由于很多时候网关还控制着我们的局域网LAN上网，所以这时我们的LAN访问也就出现问题了。

第 9 页
ARP攻防实战
arp攻击测试软件演试(Ｔ去内网机器) 聚生网管控制内网流量

第 10 页
ARP安全防范

查找本网段的网关地址，比如192．168．1．1，以下以此网关为例。在正常上网时， “开始→运行→cmd→确定”，输入：arp －a，点回车，查看网关对应的Physical Address。比如：网关192.168.1.1 对应00－01－02－03－04－05。步骤二：编写一个批处理文件best.bat，内容如下： @echo off arp －d arp -s 192.168.0.115 00-16-36-f7-bd-5e 保存为：best.bat。步骤三：运行批处理文件将这个批处理文件拖到“Windows→开始→程序→启动”中，如果需要立即生效，请运行此文件。 gpedit.msc_________________________
第 3 页
ARP欺骗的原理

首先我们可以肯定一点的就是发送ARP欺骗包是通过一个恶毒的程序自动发送的，正常的TCP/IP 网络是不会有这样的错误包发送的，而人工发送又比较麻烦。也就是说当黑客没有运行这个恶毒程序的话，网络上通信应该是一切正常的，保留在各个连接网络计算机上的ARP缓存表也应该是正确的，只有程序启动开始发送错误ARP信息以及ARP欺骗包时才会让某些计算机访问网络出现问题。接下来我们来阐述下ARP欺骗的原理.
第 2 页
什么是ARP协议
ARP协议是“Address Resolution Protocol”（地址解析协议）的缩写。在局域网中，网络中实际传输的是“帧”，帧里面是有目标主机的MAC地址的。在以太网中，一个主机要和另一个主机进行直接通信，必须要知道目标主机的MAC地址。但这个目标MAC地址是如何获得的呢？它就是通过地址解析协议获得的。所谓“地址解析”就是主机在发送帧前将目标IP地址转换成目标MAC地址的过程。 ARP协议的基本功能就是通过目标设备的IP地址，查询目标设备的 MAC地址，以保证通信的顺利进行。所以说从某种意义上讲ARP 协议是工作在更低于IP协议的协议层。这也是为什么ARP欺骗更能够让人在神不知鬼不觉的情况下出现网络故障，他的危害更加隐蔽。