ARP欺骗攻击的实现与防范
RP攻击类型:
– ARP 扫描 – ARP 中间人攻击 – ARP断网攻击。
ARP欺骗攻击原理-- ARP 扫描攻击
• ARP 扫描(ARP请求风暴)用于查找网络中存活的 主机,为后续攻击做准备。
• 其原理是:攻击主机向网段中所有机器挨个发起 ARP 请求,网络中的主机收到此 ARP 请求后,会 对攻击主机进行响应。
– B址M向A是CA地19发址2.送1本6一8来.1个应0.自3该(己是C伪的C造C-IPC的C地-AC址RCP-)C应C,-答CCM,-CAC这C,地个这址应里是答被B中B伪-的B造B数-了B据B)-为B。B发-B当B送A-B方接B(I收PC地到的B 伪造的 ARP 应答,就会更新本地的 ARP 缓存(A 被欺骗了) ,这时 B 就 伪装成C了。
– 同19时2.1,68B.1同0.样1(向AC的发IP送地一址个)A,RPM应A答C地,址应是答B包B-中BB发-B送B-B方B-IBPB地-BB址(四A的MAC 地址本来应该是AA-AA-AA-AA-AA-AA) ,当 C 收到 B 伪造的 ARP 应答,也 会更新本地 ARP 缓存(C 也被欺骗了),这时 B 就伪装成了 A。
• ARP 中间人攻击,能够导致被攻击主机的信 息泄密,同时也会耗费网络带宽。
ARP欺骗攻击原理-- ARP断网攻击
• ARP 断网攻击能使网络通讯中断,危害性 最为严重。
• 其原理是:攻击主机向被攻击发起主动发 起 ARP 回应,告诉对方一个错误的网关 MAC,从而让对方的数据发往错误甚至是 不存在的 MAC 地址处,从而断网。如果同 时对网络中的所有主机进行攻击,则会导 致整个局域网全部断网。
ARP报头结构
• 硬件类型字段指明了发送方想知道的硬件接口类型,以太网的值为1; • 协议类型字段指明了发送方提供的高层协议类型,IP为0800(16进制); • 硬件地址长度和协议长度指明了硬件地址和高层协议地址的长度,这样ARP报文就可以
在任意硬件和任意协议的网络中使用; • 操作字段用来表示这个报文的类型,ARP请求为1,ARP响应为2,RARP请求为3,RARP
响应为4; • 发送方的硬件地址(0-3字节):源主机硬件地址的前3个字节; • 发送方的硬件地址(4-5字节):源主机硬件地址的后3个字节; • 发送方IP(0-1字节):源主机硬件地址的前2个字节; • 发送方IP(2-3字节):源主机硬件地址的后2个字节; • 目的硬件地址(0-1字节):目的主机硬件地址的前2个字节; • 目的硬件地址(2-5字节):目的主机硬件地址的后4个字节; • 目的IP(0-3字节):目的主机的IP地址。
• 源主机收到这个ARP响应数据包后,将得到的目的主机的IP地址和 MAC地址添加到自己的ARP列表中,并利用此信息开始数据的传输。 如果源主机一直没有收到ARP响应数据包,表示ARP查询失败。
ARP欺骗
• 为什么ARP容易被欺骗? • 局域网内主机数据包的传送完成不是依靠IP
地址,而是依靠ARP找到与IP地址对应的 MAC地址实现的。 • ARP欺骗的根本原因就是计算机维持一个 ARP告诉缓存表。ARP协议是不连接不可靠 的协议,ARP表随计算机不断发出请求和收 到相应而更新的,因此,ARP表中数据是不 会经过确认的,从而引起ARP欺骗攻击。
ARP的工作原理
• 首先,每台主机都会在自己的ARP缓冲区 (ARP Cache)中建立一个 ARP 列表,以表示IP地址和MAC地址的对应关系。
• 当源主机需要将一个数据包要发送到目的主机时,会首先检查自己 ARP列表中是否存在该 IP地址对应的MAC地址,如果有﹐就直接将数 据包发送到这个MAC地址;如果没有,就向本地网段发起一个ARP请 求的广播包,查询此目的主机对应的MAC地址。此ARP请求数据包里 包括源主机的IP地址、硬件地址、以及目的主机的IP地址。
ARP欺骗攻击的实现与防范
ARP协议简介
• ARP,全称Address Resolution Protocol,中文名为地 址解析协议,它工作在数据链路层,在本层和硬件 接口联系,同时对上层提供服务。
• IP数据包常通过以太网发送,以太网设备并不识别 32位IP地址,它们是以48位以太网地址传输以太网 数据包。因此,必须把IP目的地址转换成以太网目 的地址。在以太网中,一个主机要和另一个主机进 行直接通信,必须要知道目标主机的MAC地址。但 这个目标MAC地址是如何获得的呢?它就是通过地 址解析协议获得的。ARP协议用于将网络中的IP地址 解析为的硬件地址(MAC地址),以保证通信的顺 利进行。
• 通过 ARP 扫描,网络中的主机在攻击者面前将会 暴露无疑,同时网络带宽被也会被严重耗费。
•
ARP欺骗攻击原理-- ARP 中间人攻击
• ARP 中间人攻击用于窃取信息。 • 其原理是:攻击主机向被攻击主机和网关
同时主动发起 ARP 回应,告诉对方自己是 它的目标 MAC,从而使被欺骗主机和网关 发送给对方的数据都在攻击主机处进行一 个跳转,进而完成信息窃取的目的。
• 网络中所有的主机收到这个ARP请求后,会检查数据包中的目的IP是 否和自己的IP地址一致。如果不相同就忽略此数据包;如果相同,该 主机首先将发送端的MAC地址和IP地址添加到自己的ARP列表中,如 果ARP表中已经存在该IP的信息,则将其覆盖,然后给源主机发送一 个 ARP响应数据包,告诉对方自己是它需要查找的MAC地址;
ARP攻击实施工具
• 网络嗅探器sniffer
– 捕获目的主机信息 – 构造欺骗数据包 – 发起主动攻击
• 嗅探器的原理
ARP攻击实施工具
• 使用sniffer构造数据包
ARP 中间人攻击的实现
• 问题: 假设一个网络环境中,网内有三台主机,分别为主机 A、B、C。 A 的地址为:IP:192.168.10.1 MAC: AA-AA-AA-AA-AA-AA B 的地址为:IP:192.168.10.2 MAC: BB-BB-BB-BB-BB-BB C 的地址为:IP:192.168.10.3 MAC: CC-CC-CC-CC-CC-CC 正常情况下 A 和C 之间进行通讯,现在B要监听A和C之间的会话。 • 实施过程如下:
