1 什么是ARP欺骗
地址解析协议,即ARP ( Address Resolution Protocol ) , 是根据IP地址获取物理地址的一个TCP/IP协议。
- 主机发送信息时将包含目标IP地址的ARP请求广播到局域网络上的所有主机,并接收返回消息,以此确定目标的物理地址;
- 收到返回消息后将该IP地址和物理地址存入本机ARP缓存中并保留一定时间,下次请求时直接查询ARP缓存以节约资源。
- 地址解析协议是建立在网络中各个主机互相信任的基础上的,局域网络上的主机可以自主发送ARP应答消息,其他主机收到应答报文时不会检测该报文的真实性就会将其记入本机ARP缓存;由此攻击者就可以向某一主机发送伪ARP应答报文,使其发送的信息无法到达预期的主机或到达错误的主机,这就构成了一个ARP欺骗。
ARP欺骗是目前常见的攻击手段,它是在交换式网络环境下实施嗅探及会话劫持的基础。
2 基于ARP欺骗的嗅探器及会话劫持
3 ARP欺骗的防范
-
使用静态缓存。 (1)手工设置:DOS--静态ARP缓存表项的命令: arp -s IP MAC; (2)专门的ARP欺骗防范工具:ARP卫士等。
- 对数据进行加密处理。