ARP协议(定义-工作原理-ARP欺骗-防御手段-实战演练)

已于 2024-04-13 17:40:09 修改
阅读量836 收藏 18
点赞数 33
文章标签: 网络 安全 网络协议
于 2024-04-13 15:30:27 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/2301_77129266/article/details/137713282
版权

声明:此次教程仅作为实验练习,请遵循网络安全法,禁止对他人使用进行网络攻击

一、ARP协议的定义

地址解析协议,即ARP(Address Resolution Protocol),是根据IP地址获取物理地址的一个TCP/IP协议。主机发送信息时将包含目标IP地址的ARP请求广播到局域网络上的所有主机,并接收返回消息,以此确定目标的物理地址;收到返回消息后将该IP地址和物理地址存入本机ARP缓存中并保留一定时间,下次请求时直接查询ARP缓存以节约资源。

地址解析协议是建立在网络中各个主机互相信任的基础上的,局域网络上的主机可以自主发送ARP应答消息,其他主机收到应答报文时不会检测该报文的真实性就会将其记入本机ARP缓存;

二、ARP协议的工作原理

假设主机A和B在同一个网段,主机A要向主机B发送信息,具体的地址解析过程如下:

  1. 主机A首先查看自己的ARP缓存表,确定其中是否包含有主机B对应的ARP表项。如果找到了对应的MAC地址,则主机A直接利用ARP表中的MAC地址,对IP数据包进行帧封装,并将数据包发送给主机B。
  2. 如果主机A在ARP表中找不到对应的MAC地址,则将缓存该数据报文,然后以广播方式发送一个ARP请求报文。ARP请求报文中的发送端IP地址和发送端MAC地址为主机A的IP地址和MAC地址,目标IP地址和目标MAC地址为主机B的IP地址和全0的MAC地址。由于ARP请求报文以广播方式发送,该网段上的所有主机都可以接收到该请求,但只有被请求的主机(即主机B)会对该请求进行处理。
  3. 主机B比较自己的IP地址和ARP请求报文中的目标IP地址,当两者相同时进行如下处理:将ARP请求报文中的发送端(即主机A)的IP地址和MAC地址存入自己的ARP表中。之后以单播方式发送ARP响应报文给主机A,其中包含了自己的MAC地址。
  4. 主机A收到ARP响应报文后,将主机B的MAC地址加入到自己的ARP表中以用于后续报文的转发,同时将IP数据包进行封装后发送出去。

直观的表现就是:

 A-->B: A向局域网发送request广播包(包含A的IP地址,A的MAC地址,B的IP地址),当B收到request包,并发现request包中的IP地址和自己一样时,则会回复response 包(包含了B的MAC地址)  

三、ARP欺骗

ARP协议的基本功能就是通过目标设备的IP地址,查询目标设备的MAC地址,以保证通信的进行。基于ARP协议的这一工作特性,黑客向对方计算机不断发送有欺诈性质的ARP数据包,数据包内包含有与当前设备重复的Mac地址,使对方在回应报文时,由于简单的地址重复错误而导致不能进行正常的网络通信,或者如果不及时处理,便会造成网络通道阻塞、网络设备的承载过重、网络的通讯质量不佳等情况。(如何攻击:因为ARP协议不具有识别功能,所以C可以冒充B向A发送response包,将自己的MAC地址发送给A,从而欺骗A自己就是B。

一般情况下,受到ARP攻击的计算机会出现两种现象:

  1. 不断弹出“本机的XXX段硬件地址与网络中的XXX段地址冲突”的对话框。
  2. 计算机不能正常上网,出现网络中断的症状。

四、防御手段

  • 设置静态的arp缓存---在计算机上使用arp-s命令添加静态arp缓存记录。

  • 使用arp服务器---在arp服务器中保存局域网服务器中各主机的ip地址和mac地址的映射信息,同时禁用各主机的arp应答,保留服务器对arp请求的应答

  •  划分虚拟局域网(vlan)和端口绑定---根据arp欺骗不会发生跨网段攻击的特点,可以将网络划分为多个网段。优点就是能缩小arp欺骗的攻击范围,缺点是不够灵活,不能避免网关遭受攻击。

  • 采用arp防火墙---现在很多杀毒软件制造商都设计出了个人arp防火墙模块,该模块也是通过绑定主机和网关等其他方式,来避免遭受攻击者所冒充的家网关攻击。

  • 管理员定期轮询,检查主机上的ARP缓存。

五、实战演练

使用kail linux (192.168.153.129)对靶机root(192.168.153.128)进行ARP攻击

1、查看本机IP

kail虚拟机IP地址为192.168.153.129

root用户IP地址为192.168.153.128

2、查看网段中有哪些主机

fping:用于向多个主机发送ICMP回显请求的工具,常用于快速扫描网络设备的在线状态。

 查看可知192.168.153.0/24网段中有192.168.153.2(网关),192.168.153.128(靶机),192.168.153.129(kail本机)

3、查看ARP-MAC地址对应表

arp:命令用于显示和操作,系统的arp缓存

kail:

网关MAC地址为:00:50:56:f8:e5:b5

root:

未攻击前:

网关MAC地址为:00:50:56:f8:e5:b5

kail本机MAC地址为:00:0c:29:aa:cf:72

正常访问:www.baidu.com

4、开始攻击靶机

  

arpspoof -i eth0 -t 192.168.153.128 192.168.153.2( arpspoof -i eth0 -t 目标IP 网关IP )

-i 指定用于进行ARP欺骗的网络接口,例如eth0或wlan0。
-t 指定目标主机的IP地址,你可以指定单个目标主机或多个目标主机。 

可以发现网关的地址发生改变:

 此时我们在靶机上查看ARP-MAC地址对应表

可以发现网关(192.168.153.2)的MAC地址和kail linuxMAC地址相同

现在网关(192.168.153.2)MAC地址为:00:0c:29:aa:cf:72

通过比较原网关MAC地址和现网关MAC地址:

原网关MAC地址为:00:50:56:f8:e5:b5

现网关MAC地址为:00:0c:29:aa:cf:72----kail的MAC地址

5、总结

通过查看ping www.baidu.com 发生网管修改,可以得知靶机遭受到了攻击,并且分析原MAC地址和现MAC地址可以得出,现MAC地址和kail linux MAC地址相同,所以我们成功的将靶机上网关的地址修改成kail linux 的地址,ARP欺骗成功。

小许不内卷
关注
  • 33
    点赞
  • 18
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
T-ARP(基于arp欺骗的抓包工具)源代码基于arp欺骗的抓包工具
06-07
基于arp欺骗的抓包工具 1. 安装winpcap驱动,目前最新的版本为winpcap_3.0_alpha, 稳定版本为winpcap_2.3; 2. 使用ARP欺骗功能前,必须启动ip路由功能,修改(添加)注册表选项:      HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Tcpip\Parameters\IPEnableRouter = 0x1 
ARP欺骗原理及实现
Naive的博客
04-06 7033
ARP 协议的缺陷在于缺乏验证机制。当主机接收到 ARP 数据包时,不会进行任何认证就刷新自己的 ARP 高速缓存。利用这一点可以实现 ARP 欺骗,造成 ARP 缓存中毒。所谓 ARP 缓存中毒,就是主机将错误的IP地址和MAC地址的映射信息记录在自己的ARP高速缓存中
2024年网络安全最新网络-ARP协议详解与ARP欺骗(中毒)攻击实战_arp中毒(1)
2401_84240129的博客
05-02 1058
地址解析协议,即ARP(Address Resolution Protocol),是根据IP地址获取物理地址(MAC地址)的一个协议。划分到网络层(TCP/IP)或数据链路层(OSI),用在局域网内。功能:完成主机或路由器IP地址到MAC地址的映射。ARP高速缓存(arp表):IP地址和MAC地址的映射。注:网络设备的接口有MAC地址,并不是一个网络设备仅有一个MAC地址,二层交换机这种设备没有MAC地址。
浅析ARP断网、欺骗攻击及防御方法
qq_24797991的博客
04-19 3496
ARP欺骗(英语:ARP spoofing),又称ARP毒化(ARP poisoning,网上上多译为ARP病毒)或ARP攻击,是针对以太网地址解析协议ARP)的一种攻击技术,通过欺骗局域网内访问者PC的网关MAC地址,使访问者PC错以为攻击者更改后的MAC地址是网关的MAC,导致网络不通。攻击主机PC2发送ARP应答包给被攻击主机PC1和网关,分别修改它们的ARP缓存表, 将它们的ip地址所对应的MAC地址,全修改为攻击主机PC2的MAC地址,这样它们之间数据都被攻击主机PC2截获。
ARP欺骗攻击原理及其防御
热门推荐
0nc3的博客
03-27 2万+
一、概述 1、协议 地址解析协议,将IP地址转换为对应的mac地址,属链路层协议 数据包分为: 请求包(广播):本机IP地址、mac地址+目标主机IP地址 应答包(单播):本机IP地址、mac地址+来源主机IP地址、mac地址 通信方式: 局域网内通信: 主机A和主机B通信过程: (1)主机A先检查自己的缓存表中有没有主机B的IP地址和mac地址的对应关系,有就直接进行通信;如果没有,就在...
网络攻击手段之-----ARP欺骗
qq_53058639的博客
01-29 1460
本篇文章介绍了什么是ARP欺骗,并使用了代码来模拟ARP的欺骗攻击,ARP 欺骗攻击是一种高危网络攻击,对网络安全造成严重威胁。因此,不应该对任何目标进行ARP 欺骗攻击。做一个遵纪守法的公民,从我做起!!!ARP (Address Resolution Protocol) 是一种网络协议,用于将 IP 地址转换为物理地址(MAC地址)。在局域网中,每台设备都有唯一的 MAC 地址,而 IP 地址是可以重复分配的。因此,当一个设备需要发送数据到另一个设备时,它需要知道另一个设备的MAC 地址。
ARP网络攻击实验
yyj1781572的博客
02-06 4860
带你走入arp网络安全实战
ARP.zip_C++ arp -a_arp协议
09-22
**ARP协议介绍** ARP,即Address Resolution Protocol(地址解析协议),是网络层的重要协议,用于在IPv4网络中将...通过学习和理解这个程序,开发者可以深入理解ARP协议工作原理以及如何在C++中进行底层网络编程。
ARP协议深入解析实例-伪造ARP
01-24
**ARP协议深入解析实例——伪造ARP** ...总结来说,理解ARP协议工作原理及其潜在风险对于网络安全至关重要。通过深入解析伪造ARP实例,我们可以更好地了解网络攻击手段,并采取相应的措施来保护我们的网络环境。
window下可用的arp-ping工具
01-03
- 安全监控:ARP欺骗是一种常见的网络攻击手段,通过ARP-Ping可以检测网络中是否存在恶意的ARP应答,帮助发现潜在的安全风险。 - 网络设备管理:在配置和管理网络设备时,ARP-Ping可以快速验证设备的物理连接状态。 ...
arp-scan-1.9.tar.gz
03-29
linux操作系统下,检测网络中的冲突的ip地址对应的mac地址,本工具为源码包,安装方法...tar -xzvf arp-scan-1.9.tar.gz cd arp-scan-1.9 ./autoreconf --install ./configure make && make check && make install
防止ARP欺骗的一种个人觉得不错的办法
12-17
很不错的一种办法,希望可以给大家带来收益
IEEE-IPv4-ICMPv4-ARP协议
01-24
【描述】:“ipv4,IEEE-IPv4-ICMPv4-ARP协议”指的是在IPv4网络环境下,如何配置和理解IEEE 802.3、ICMPv4和ARP协议工作原理。 【标签】:“IEEE-IPv4-ICMPv4”强调了这些协议网络通信中的重要性,IEEE 802.3...
1-ARP欺骗及攻击_arp缓存欺骗攻击(1),2024年最新网络安全性能优化总结
2401_84141401的博客
04-09 646
本人从事网路安全工作12年,曾在2个大厂工作过,安全服务、售后服务、售前、攻防比赛、安全讲师、销售经理等职位都做过,对这个行业了解比较全面。最近遍览了各种网络安全类的文章,内容参差不齐,其中不伐有大佬倾力教学,也有各种不良机构浑水摸鱼,在收到几条私信,发现大家对一套完整的系统的网络安全从学习路线到学习资料,甚至是工具有着不小的需求。最后,我将这部分内容融会贯通成了一套282G的网络安全资料包,所有类目条理清晰,知识点层层递进,需要的小伙伴可以点击下方小卡片领取哦!
ARP欺骗攻击的7种解决方案,我最推荐你用这种
最新发布
SPOTO2021的博客
07-11 965
当设备收到ARP报文时,将此ARP报文对应的源IP、源MAC、VLAN以及接口信息和绑定表的信息进行比较,如果信息匹配,说明发送该 ARP 报文的用户是合法用户,允许此用户的 ARP 报文通过,否则就认为是攻击,丢弃该 ARP 报文。设备就认为该ARP报文是与网关地址冲突的ARP报文,设备将生成ARP防攻击表项,并在后续一段时间内丢弃该接口收到的同 VLAN 以及同源 MAC 地址的 ARP报文,这样可以防止与网关地址冲突的ARP报文在VLAN内广播。对于 ARP 请求报文,只检查源 IP 地址。
网络安全快速入门
03-26
网络安全涉及面非常广,要想学好网络安全需要先打好网络基础,再寻找一个兴趣点切入学习!本课程是帮助那些想学网络安全又不知道如何开始学习的同学快速入门,主要包括国内外重要安全事件、网络安全行业介绍、协议抓包软件wireshark使用、协议分析、实战攻击演练
ARP攻击的原理和防御方法
Andrew的博客
02-27 1万+
一.ARP攻击的原理   ARP攻击是指攻击者利用ARP协议的缺陷,发送ARP响应报文,把网关对应的MAC地址变成欺骗的MAC地址,从而导致网络中断或数据劫持的目的。   二.ARP攻击的防御方法   可以在客户端设置静态的ARP映射表,这样就不会受到ARP的欺骗;也可以在交换机上设置访问控制,对于所有流经交换机但IP地址和MAC地址与网关不匹配的情况进行过滤,从而避免了ARP的攻击。...
防止ARP欺骗的方法
qq_44428824的博客
02-09 5092
防止ARP欺骗的方法!!! 根据鄙人上网经常掉线,怀疑可能是某人使用网络剪刀手,网络执行官,局域网终结者等工具。经过搜索有关资料,有了一点点防范经验,借以参考~! 一 首先我们来了解下这类攻击工具的原理: 我们知道一个局域网中不可以同时有两个相同的ip。否则就会发生IP冲突,结果必然是其中的一台机器无法上网。假设在一个局域网中有两台主机甲和乙,主机 甲只知道乙的IP而不知道其MAC,主机甲想与主机乙进行通讯时,根据OSI七层模型,当数据封装到数据链路层时(也就是MAC层),便会向局域网内所有 的机器发送一个
防止ARP欺骗
weixin_33853794的博客
08-17 304
前言:曾经因为宿舍里面的同学经常熬夜打游戏,好言相劝不管用,无奈之下使用arp欺骗×××他们的主机,使之晚上11点之后游戏延迟,掉线,最后,一到11点同学们就都上床睡觉了。防止arp欺骗的三种思路:在主机上静态绑定mac地址在主机上arp防火墙利用交换机的防arp欺骗技术,比如DAI在windows主机上静态绑定mac地址:在linux主机上静态绑定mac地址:在路由器上做M...
ARP欺骗防御措施,DHCP监听技术,建立和维护一张,用于正确IP和MAC对于的DHCP绑定表
03-27
1. 使用静态ARP记录:管理员可以手动添加静态ARP记录,将IP地址和MAC地址绑定在一起,这样就可以防止ARP欺骗攻击。 2. 使用动态ARP检测:网络设备可以启用动态ARP检测机制,当检测到IP地址和MAC地址不匹配时,可以自动阻止该MAC地址的数据包流入。 3. 使用端口安全技术:网络设备可以配置端口安全,限制每个端口允许连接的MAC地址数量,这样可以防止ARP欺骗攻击者通过伪造MAC地址来入侵网络。 4. 使用DHCP Snooping技术:DHCP Snooping技术可以对DHCP数据包进行监控和过滤,只允许合法的DHCP数据包通过,从而防止DHCP服务器被攻击。 5. 建立和维护正确的DHCP绑定表:管理员可以手动维护一张正确的DHCP绑定表,将IP地址和MAC地址绑定在一起,这样可以防止ARP欺骗攻击和其他网络安全问题。同时,还需要定期更新和检查DHCP绑定表,确保其准确性。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值