APR欺骗:局域网的网络流通由MAC地址进行传输,若MAC地址被伪造为一个假的或者不存在的地址则会导致网络不通。(无法ping通)
ARP协议:地址解析协议。IP---->物理地址有两种映射方式:表格方式和非表格方式。ARP协议对于主机来说任何时候都会接收,即使是假的ARP响应报文。
ARP原理:A向B发送报文,首先查询本地的ARP缓存表,找到B的IP的MAC地址,则传输数据;若未找到,则A向整个局域网广播一个ARP请求报文(带有A的IP和MAC),请求IP地址为B的主机B回答物理地址。主机B收到请求后返回给A一个ARP响应报文,A收到后更新自己的ARP缓存表,之后建立数据连接。
arp -a:查看ARP缓存表内容。
arp -d:删除ARP缓存表内容。
arp -s:手动在ARP缓存表中指定IP与MAC对应关系。
ARP欺骗方式:
1.截获网关数据:通知路由器一系列错误的内网MAC信息,并按照一定的频率进行,使得路由器无法获得真实的内网MAC信息。
2.伪造网关:建立假网关,使被欺骗的PC机向假网关发送数据,此时在PC机看来就是上不了网。
3.单向欺骗:由中间主机B向A发送错误的C的MAC地址,使A无法与C通信,但C却是可以与A进行通信。
4.双向欺骗:由中间主机B向A和C均发送错误的MAC地址,使A与C均无法互相通信。
故障分析:
1.局域网内某台主机感染ARP病毒,会向本网段内所有主机发送ARP欺骗谎称自己是本网段的网关,此时本网段内的主机流量全部流向该主机,导致无法上网。
2.局域网中某用户使用ARP欺骗程序,不断发送ARP欺骗包,使本网段内所有主机发生网络不稳定,时断时续的现象。
利用ARP的攻击类型:
1.ARP扫描(ARP请求风暴):网络中出现大量的ARP请求广播包,,占用大量的网络宽带资源,一般为ARP攻击的前奏。
2.ARP欺骗:
(1)欺骗某一主机作为“中间人”,数据经过“中间人”进行中转,导致数据非法流向“中间人”,截获信息。
(2)直接欺骗目标主机使其网络故障。
规避方法:利用arp -s在pc上使IP与MAC进行静态绑定,同时在网关也进行IP与MAC的静态绑定。