在51CTO策划的ARP系列文章的前一篇《ARP Sinffer攻防实例讲解》中子明给大家呈现了ARP一攻一防的两个实例,在网上有很多文章描述了ARP欺骗攻击的原理,但还是有很多51CTO网友反映,有很多不理解和不明白的地方,所以本文子明特别用通俗的例子,说明ARP欺骗攻击的原理,使ARP欺骗攻击原理更加清楚的展现在你的面前。
了解ARP地址解析协议
我们先来简单描述下什么是ARP,ARP是地址解析协议,ARP协议主要负责将局域网中的32位IP地址转换为对应的48位物理地址,即网卡的MAC地址,比如IP地址为192.168.0.1计算机上网卡的MAC地址为00-03-0F-FD-1D-2B。整个转换过程是一台主机先向目标主机发送包含IP地址信息的广播数据包,即ARP请求,然后目标主机向该主机发送一个含有IP地址和MAC地址数据包,通过协商这两个主机就可以实现数据传输了。
ARP缓存表
在安装了以太网网络适配器(既网卡)的计算机中有一个或多个ARP缓存表,用于保存IP地址以及经过解析的MAC地址。在Windows中要查看或者修改ARP缓存中的信息,可以使用ARP命令来完成,比如在Windows XP的命令提示符窗口中键入“ARP -a”或“ARP -g”可以查看ARP缓存中的内容;键入“ARP -d IPaddress”表示删除指定的IP地址项(IPaddress表示IP地址)。ARP命令的其他用法可以键入“ARP /?”查看帮助信息。
什么是ARP欺骗
将ip地址转换为mac地址是ARP的工作,在网络中发送虚假的ARP respones,就是ARP欺骗。
在现实中,我们都知道邮政机构的主要职责就是靠邮差来接收和收发包裹,我们只要填写两个正确信息:邮政编码和收件人地址,就可以吧邮件送达目的地。这中间邮政编码起到很大的作用,它的主要作用是把相应的地址信息用数字的形式统一编码,比如:10080,就代表了北京市某个行政地区。
如果我们清楚的知道邮政系统是怎样把包裹送达目的地,就很容易立即ARP协议的处理过程。ARP同样处理需要两个信息来完成数据传输,一个是IP地址,一个是MAC地址。所以当ARP传输数据包到目的主机时,就好像邮局送包裹到目的地,IP地址就是邮政编码,MAC地址就是收件人地址。ARP的任务就是把已知的IP地址转换成MAC地址,这中间有复杂的协商过程,这就好像邮局内部处理不同目的地的邮件一样。我们都清楚邮局也有可能送错邮件,原因很简单,就是搞错了收件人地址,或是搞错了邮政编码,而这些都是人为的;同理,ARP解析协议也会产生这样的问题,只不过是通过计算机搞错,比如,在获得MAC地址时,有其他主机故意顶替目的主机的MAC地址,就造成了数据包不能准确到达。这就是所谓的ARP欺骗。
ARP欺骗会导致什么问题
假设,李四在北京,邮编是100080。朋友张三要给李四发一封信,当张三发现通讯录里没有李四的邮政编码,他就把信件发到了北京市邮局,于是邮局发了个广播给用户,问谁的地址邮编是10080,结果李四发现自己的邮编是10080,李四就会举手,说我是。这样,信件就发到李四那儿了。同时李四的地址信息也被张三记在自己的通信录里面了。
问题来了,如果在广播的时候,有人假冒李四,发出应答……。那信件就发不到李四那儿,并且,张三的通信表里面记录了错误的邮编和地址对应的信息。
李四收不到信件,就会给张三发信息询问,张三又重新发,但是他通信录里面的地址是错误的,所以,每次发信李四都收不到。如果这样反复询问,那必然的结果就是错误信件越发越多,邮件的错误邮件也越收越多,超过了正常的接收量,由于超负荷运转,而最终导致邮局彻底瘫痪,邮差也相继失业。可怜的李四,他始终没有收到过张三的邮件。
这就好比是ARP欺骗造成的后果,错误信件就是错误数据包,当它越来越多时,就会导致网络瘫痪,从而导致主机不能上网,影响企业的正常业务运转。
http://netsecurity.51cto.com/art/200709/57185.htm
一、 什么是ARP
ARP(Address Resolution Protocol,地址解析协议)是一个位于TCP/IP协议栈中的低层协议,负责将某个IP地址解析成对应的MAC地址。
在局域网中,网络中实际传输的是“帧”,帧里面是有目标主机的MAC地址的。在以太网中,一个主机要和另一个主机进行直接通信,必须要知道目标主机的MAC地址。但这个目标MAC地址是如何获得的呢?它就是通过地址解析协议获得的。所谓‘地址解析“就是主机在发送帧前将目标IP地址转换成目标MAC地址的过程。ARP协议的基本功能就是通过目标设备的IP地址,查询目标设备的MAC地址,以保证通信的顺利进行。
二、 ARP的工作原理
在每台安装有TCP/IP协议的电脑里都有一个ARP缓存表,表里的IP地址与MAC地址是一一对应的,在命令提示符下,输入“arp -a”就可以查看ARP缓存表中的内容了:
注:用“arp -d”命令可以删除ARP表的内容;用“arp -s”可以手动在ARP表中指定IP地址与MAC地址的对应。
我们以主机A(192.168.1.5)向主机B(192.168.1.1)发送数据为例。当发送数据时,主机A会在自己的ARP缓存表中寻找是否有目标IP地址。如果找到了,也就知道了目标MAC地址,直接把目标MAC地址写入帧里面发送就可以了;如果在ARP缓存表中没有找到相对应的IP地址,主机A就会在网络上发送一个广播,目标MAC地址是“FF.FF.FF.FF.FF.FF”,这表示向同一网段内的所有主机发出这样的询问:“192.168.1.1的MAC地址是什么?”网络上其他主机并不响应ARP询问,只有主机B接收到这个帧时,才向主机A做出这样的回应:“192.168.1.1的MAC地址是00-aa-00-62-c6-09”。这样,主机A就知道了主机B的MAC地址,它就可以向主机B发送信息了。同时它还更新了自己的ARP缓存表,下次再向主机B发送信息时,直接从ARP缓存表里查找就可以了。
ARP缓存表采用了老化机制,在一段时间内如果表中的某一行没有使用,就会被删除,这样可以大大减少ARP缓存表的长度,加快查询速度。
作为攻击源的主机伪造一个ARP响应包,此ARP响应包中的IP与MAC地址对与真实的IP与MAC对应关系不同,此伪造的ARP响应包广播出去后,网内其它主机ARP缓存被更新,被欺骗主机ARP缓存中特定IP被关联到错误的MAC地址,被欺骗主机访问特定IP的数据包将不能被发送到真实的目的主机,目的主机不能被正常访问。
四、 ARP欺骗的症状
网络时断时通
网络中断,重启网关设备,网络短暂连通
内网通讯正常、网关不通;
频繁提示IP地址冲突;
硬件设备正常,局域网不通;
特定IP网络不通,更换IP地址,网络正常;
禁用-启用网卡,网络短暂连通;
网页被重定向。
……………………
1万+
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
