目录
1.ARP攻击与ARP欺骗的原理及应用
网络管理员在网络维护阶段需要处理各种各样的故障,出现最多的就是网络通信问题。除物理原因外,这种现象一般是ARP攻击或ARP欺骗导致的。
无论是ARP攻击还是ARP欺骗,它们都是通过伪造ARP应答来实现的。
1.1 ARP攻击和ARP欺骗的原理
1.ARP攻击的原理
一般情况下,ARP攻击的主要目的是使网络无法正常通信,它主要包括以下两种行为。
攻击主机制造假的ARP应答,并发送给局域网中除被攻击主机之外的所有主机。ARP应 答中包含被攻击主机的IP地址和虚假的MAC地址。
攻击主机制造假的ARP应答,并发送给被攻击主机,ARP应答中包含除被攻击主机之外 的所有主机的IP地址和虚假的MAC地址。
只要执行上述ARP攻击行为中的任意一种,就可以使被攻击主机和其他主机无法通信,如图所示,例如,如果希望被攻击主机无法访问互联网,就需要向网关发送或向被攻击主机发送虚假的 ARP应答。当网关接收到虚假的ARP应答更新ARP条目后,如果网关再发送数据给PC1时,就会发送到虚假的MAC地址,从而导致通信故障。
某些ARP病毒会向局域网中的所有主机发送ARP应答,其中包含网关的IP地址和虚假的MAC
地址。局域网中的主机收到ARP应答更新ARP表后,就无法和网关正常通信,从而导致无法访问互
联网。
2.ARP欺骗的原理
一般情况下,ARP欺骗并不会使网络无法正常通信,而是通过冒充网关或其他主机使到达网关或主机的流量通过攻击主机进行转发。攻击主机通过转发流量可以对流量进行控制和查看,从而控制流量或得到机密信息。
ARP欺骗发送ARP应答给局域网中其他主机,其中包含网关的IP地址和进行ARP欺骗的主机 MAC地址:并且也发送ARP应答给网关,其中包含局域网中所有主机的IP地址和进行ARP欺骗的主机MAC地址(有的软件只发送ARP应答给局域网中的其他主机,并不发送ARP应答欺骗网关)。当局域网中主机和网关收到ARP应答更新ARP表后,主机和网关之间的流量就需要通过攻击主机进行
转发,如图所示,冒充主机的过程和冒充网关相同,如图所示。