什么是ARP欺骗? 将ip地址转换为mac地址是ARP的工作,在网络中发送虚假的ARP respones,就是ARP欺骗。
在现实中,我们都知道邮政机构的主要职责就是靠邮差来接收和收发包裹,我们只要填写两个正确信息:邮政编码和收件人地址,就可以吧邮件送达目的地。这中 间邮政编码起到很大的作用,它的主要作用是把相应的地址信息用数字的形式统一编码,比如:10080,就代表了北京市某个行政地区。
如果我们 清楚的知道邮政系统是怎样把包裹送达目的地,就很容易立即ARP协议的处理过程。ARP同样处理需要两个信息来完成数据传输,一个是IP地址,一个是 MAC地址。所以当ARP传输数据包到目的主机时,就好像邮局送包裹到目的地,IP地址就是邮政编码,MAC地址就是收件人地址。ARP的任务就是把已知 的IP地址转换成MAC地址,这中间有复杂的协商过程,这就好像邮局内部处理不同目的地的邮件一样。我们都清楚邮局也有可能送错邮件,原因很简单,就是搞 错了收件人地址,或是搞错了邮政编码,而这些都是人为的;同理,ARP解析协议也会产生这样的问题,只不过是通过计算机搞错,比如,在获得MAC地址时, 有其他主机故意顶替目的主机的MAC地址,就造成了数据包不能准确到达。这就是所谓的ARP欺骗。
ARP欺骗会导致什么问题
假 设,李四在北京,邮编是100080。朋友张三要给李四发一封信,当张三发现通讯录里没有李四的邮政编码,他就把信件发到了北京市邮局,于是邮局发了个广 播给用户,问谁的地址邮编是10080,结果李四发现自己的邮编是10080,李四就会举手,说我是。这样,信件就发到李四那儿了。同时李四的地址信息也 被张三记在自己的通信录里面了。
问题来了,如果在广播的时候,有人假冒李四,发出应答……。那信件就发不到李四那儿,并且,张三的通信表里面记录了错误的邮编和地址对应的信息。
李四收不到信件,就会给张三发信息询问,张三又重新发,但是他通信录里面的地址是错误的,所以,每次发信李四都收不到。如果这样反复询问,那必然的结果 就是错误信件越发越多,邮件的错误邮件也越收越多,超过了正常的接收量,由于超负荷运转,而最终导致邮局彻底瘫痪,邮差也相继失业。可怜的李四,他始终没 有收到过张三的邮件。
这就好比是ARP欺骗造成的后果,错误信件就是错误数据包,当它越来越多时,就会导致网络瘫痪,从而导致主机不能上网,影响企业的正常业务运转。
如果我们 清楚的知道邮政系统是怎样把包裹送达目的地,就很容易立即ARP协议的处理过程。ARP同样处理需要两个信息来完成数据传输,一个是IP地址,一个是 MAC地址。所以当ARP传输数据包到目的主机时,就好像邮局送包裹到目的地,IP地址就是邮政编码,MAC地址就是收件人地址。ARP的任务就是把已知 的IP地址转换成MAC地址,这中间有复杂的协商过程,这就好像邮局内部处理不同目的地的邮件一样。我们都清楚邮局也有可能送错邮件,原因很简单,就是搞 错了收件人地址,或是搞错了邮政编码,而这些都是人为的;同理,ARP解析协议也会产生这样的问题,只不过是通过计算机搞错,比如,在获得MAC地址时, 有其他主机故意顶替目的主机的MAC地址,就造成了数据包不能准确到达。这就是所谓的ARP欺骗。
ARP欺骗会导致什么问题
假 设,李四在北京,邮编是100080。朋友张三要给李四发一封信,当张三发现通讯录里没有李四的邮政编码,他就把信件发到了北京市邮局,于是邮局发了个广 播给用户,问谁的地址邮编是10080,结果李四发现自己的邮编是10080,李四就会举手,说我是。这样,信件就发到李四那儿了。同时李四的地址信息也 被张三记在自己的通信录里面了。
问题来了,如果在广播的时候,有人假冒李四,发出应答……。那信件就发不到李四那儿,并且,张三的通信表里面记录了错误的邮编和地址对应的信息。
李四收不到信件,就会给张三发信息询问,张三又重新发,但是他通信录里面的地址是错误的,所以,每次发信李四都收不到。如果这样反复询问,那必然的结果 就是错误信件越发越多,邮件的错误邮件也越收越多,超过了正常的接收量,由于超负荷运转,而最终导致邮局彻底瘫痪,邮差也相继失业。可怜的李四,他始终没 有收到过张三的邮件。
这就好比是ARP欺骗造成的后果,错误信件就是错误数据包,当它越来越多时,就会导致网络瘫痪,从而导致主机不能上网,影响企业的正常业务运转。
2011-05-05 11:09:59 来源:
www.hackbase.com
ARP定义
ARP(Address Resolution Protocol,地址解析协议)是一个位于TCP/IP协议栈中的底层协议,对应于数据链路层,负责将某个IP地址解析成对应的MAC地址。
ARP协议的基本功能就是通过目标设备的IP地址,查询目标设备的MAC地址,以保证通信的进行。
ARP(AddressResolutionProtocol)是地址解析协议,是一种将IP地址转化成物理地址的协议。从IP地址到物理地址的映射有两种方式:表格方式和非表格方式。ARP具体说来就是将网络层(IP层,也就是相当于OSI的第三层)地址解析为数据连接层(MAC层,也就是相当于OSI的第二层)的MAC地址。
ARP攻击原理
ARP攻击就是通过伪造IP地址和MAC地址实现ARP欺骗,能够在网络中产生大量的ARP通信量使网络阻塞,攻击者只要持续不断的发出伪造的ARP响应包就能更改目标主机ARP缓存中的IP-MAC条目,造成网络中断或中间人攻击。
ARP攻击主要是存在于局域网网络中,局域网中若有一台计算机感染ARP木马,则感染该ARP木马的系统将会试图通过“ARP欺骗”手段截获所在网络内其它计算机的通信信息,并因此造成网内其它计算机的通信故障。
某机器A要向主机B发送报文,会查询本地的ARP缓存表,找到B的IP地址对应的MAC地址后,就会进行数据传输。如果未找到,则A广播一个ARP请求报文(携带主机A的IP地址Ia——物理地址Pa),请求IP地址为Ib的主机B回答物理地址Pb。网上所有主机包括B都收到ARP请求,但只有主机B识别自己的IP地址,于是向A主机发回一个ARP响应报文。其中就包含有B的MAC地址,A接收到B的应答后,就会更新本地的ARP缓存。接着使用这个MAC地址发送数据(由网卡附加MAC地址)。因此,本地高速缓存的这个ARP表是本地网络流通的基础,而且这个缓存是动态的。
ARP攻击的演化
初期:
这种有目的的发布错误ARP广播包的行为,被称为ARP欺骗。ARP欺骗,最初为黑客所用,成为黑客窃取网络数据的主要手段。黑客通过发布错误的ARP广播包,阻断正常通信,并将自己所用的电脑伪装成别人的电脑,这样原本发往其他电脑的数据,就发到了黑客的电脑上,达到窃取数据的目的。
中期:ARP恶意攻击
后来,有人利用这一原理,制作了一些所谓的“管理软件”,例如网络剪刀手、执法官、终结者等,这样就导致了ARP恶意攻击的泛滥。往往使用这种软件的人,以恶意破坏为目的,多是为了让别人断线,逞一时之快。
特别是在网吧中,或者因为商业竞争的目的、或者因为个人无聊泄愤,造成恶意ARP攻击泛滥。
随着网吧经营者摸索出禁用这些特定软件的方法,这股风潮也就渐渐平息下去了。
现在:综合的ARP攻击
最近这一波ARP攻击潮,其目的、方式多样化,冲击力度、影响力也比前两个阶段大很多。
首先是病毒加入了ARP攻击的行列。以前的病毒攻击网络以广域网为主,最有效的攻击方式是DDOS攻击。但是随着防范能力的提高,病毒制造者将目光投向局域网,开始尝试ARP攻击,例如最近流行的威金病毒,ARP攻击是其使用的攻击手段之一。
相对病毒而言,盗号程序对网吧运营的困惑更大。盗号程序是为了窃取用户帐号密码数据而进行ARP欺骗,同时又会影响的其他电脑上网。
百度百科
136
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
