当前位置:文档之家 › 实验11arp欺骗

实验11arp欺骗

  • 格式:doc
  • 大小:163.50 KB
  • 文档页数:8

下载文档原格式

  / 8
  1. 1、下载文档前请自行甄别文档内容的完整性,平台不提供额外的编辑、内容补充、找答案等附加服务。
  2. 2、"仅部分预览"的文档,不可在线预览部分如存在完整性等问题,可反馈申请退款(可完整预览的文档不适用该条件!)。
  3. 3、如文档侵犯您的权益,请联系客服反馈,我们会尽快为您处理(人工客服工作时间:9:00-18:30)。

欺骗攻击

欺骗攻击是一种比较特殊的攻击方式,它不以获取目标主机的权限为目的,而往往是希望能够假扮目标主机的角色,从而可以窃取其他客户端发送给目标主机的信息。欺骗攻击的方式有很多种,包括社交工程、IP欺骗、DNS欺骗、电子邮件欺骗、WEB欺骗以及最流行的ARP欺骗等等。这些方式的不同,相应的攻击所应用的技术及采用的策略也都不尽相同,但我们要认识到它的本质并没有不同,攻击的最终目的就是伪造和欺骗。本章以ARP欺骗为例来阐述它的工作原理及具体应用。

ARP欺骗

11.1.1 背景描述

ARP欺骗是一类地址欺骗类病毒,属于木马病毒,自身不具备主动传播的特性,不会自我复制。但是由于其发作的时候会不断向全网发送伪造的ARP数据包,导致网络无法正常运行,严重的甚至可能带来整个网络的瘫痪。此外,此外黑客还会通过这种攻击手段窃取用户密码,如盗取QQ密码、盗取各种网络游戏密码和账号、盗窃网上银行账号,给用户造成了很大的不便和巨大的经济损失。因此,它的危害比一些蠕虫病毒来要厉害。

电脑感染ARP病毒后的表现为:网速时快时慢,极其不稳定,局域网内频繁性区域或整体掉线,重启计算机或网络设备后恢复正常;网上银行、游戏及QQ账号的频繁丢失。随着加密技术的不断提高,ARP病毒在盗取用户帐号、密码时遇到了很大的难度。于时又出现了一类新的ARP病毒,该类ARP病毒保留了ARP病毒的基本功能,即向全网发送伪造的ARP 欺骗广播,将自身伪装成网关。在此基础上,对用户发出的HTTP请求访问进行修改,在其中插入恶意网址链接,用户在不知情的情况下点击这些链接时,木马病毒就会利用系统漏洞种植到用户电脑中,从而使用户电脑感染病毒。

11.1.2 工作原理

一、什么是ARP协议

ARP协议是“Address Resolution Protocol”(地址解析协议)的缩写。我们知道在局域网中,网络以“帧”的形式传输数据。一个主机要和另一个主机进行直接通信,必须要知道目标主机的MAC地址,目标主机的MAC地址理应就包含在数据帧中。显然在双方通信之初,发送方是无法知道目标MAC地址的,它的获得就是通过地址解析这个过程。所谓“地址解析”就是主机在发送帧之前将目标IP地址转换成目标MAC地址的过程。ARP协议的基本功能就是通过目标设备的IP地址,查询目标设备的MAC地址,以保证通信的顺利进行。

二、ARP协议的工作原理

ARP数据包根据接收对象不同,可分为两种:

1. 广播包(Broadcast)。广播包目的MAC地址为FF-FF-FF-FF-FF-FF,网络设备如交换机接收到广播包后,会把它转发给局域网内的所有主机。

2. 非广播包(Non-Broadcast)。非广播包后只有指定的主机才能接收到。

ARP数据包根据功能不同,也可以分为两种:

1. ARP请求包(ARP Request):作用是用于获取局域网内某IP对应的MAC地址。

2. ARP回复包(ARP Reply):作用是告知别的主机,本机的IP地址和MAC是什么。

广播的一般都是ARP请求包,非广播的一般都是ARP回复包。

我们通过一个案例简单分析一下。假设局域网内有以下两台主机,主机名、IP地址、MAC地址分别如表11-1-1所示:

表11-1-1 两台主机的IP地址及MAC地址

当主机A需要与主机B进行通讯时,它会先查一下本机的ARP缓存中,有没有主机B 的MAC地址。如果有就可以直接通讯。如果没有,主机A就需要通过ARP协议来获取主机B

的MAC地址。具体做法是主机A会形成一个ARP请求,以物理广播地址在本子网上广播,并等待目的主机的应答。这个请求包含发送方的IP地址、物理地址以及目标主机的IP地址。

当主机B接收到来自主机A的“ARP广播-请求”数据包后,它会先把主机A的IP地址和MAC地址对应关系保存/更新到本机的ARP缓存表中,然后它会给主机A发送一个“ARP 非广播-回复”数据包,当主机A接收到主机B的回复后,它会把主机B的IP地址和MAC 地址对应关系保存/更新到本机的ARP缓存表中,之后主机A和B就可以进行通讯了。图11-1-1显示了两台网络设备的ARP表。

图11-1-1 两台设备的ARP表

从上述局域网主机通讯过程可以看出,主机在两种情况下会保存、更新本机的ARP缓存表:

1. 接收到“ARP广播-请求”包时

2. 接收到“ARP非广播-回复”包时

通过以上分析我们可以看出,ARP协议是没有身份验证机制的,局域网内任何主机都可以随意伪造ARP数据包,ARP协议设计天生就存在严重缺陷。ARP欺骗的过程基本思路是PC03首先向PC02发送了一个ARP数据包,作用相当于告诉PC02:“我是10.0.0.1,我的MAC 地址是03-03-03-03-03-03”,接着他也向GateWay也发送了一个ARP数据包,作用相当于告诉GateWay:“我是,我的MAC地址是03-03-03-03-03-03”。欺骗成功后,主机PC02与GateWay之间的数据流向,以及它们各自的ARP缓存表就变成如图11-1-2所示:

图11-1-2 ARP欺骗后的网络设备保存的ARP表

11.1.3 实验列表

实验序号实验名称

实验一ARP欺骗的实现

请参考百度文库:

【实验一】ARP欺骗的实现

【实验分析】

实验目的:

掌握ARP欺骗的工作原理

掌握ARP攻击软件WinArpAttacker的使用方法

场景分析:

本次实验可以在三台虚拟机的环境下模拟完成。实验的基本思路是:管理员在A机(攻击源)登录,利用ARP攻击软件WinArpAttacker对B机(目标主机)的ARP表进行修改,即让目标主机的ARP表中的MAC地址与IP地址发生错误的对应关系。实验的环境如表11-1-2所示:

相关主题