ARP 的概念及作用
ARP 是地址轉換協議(Address Resolution Protocal)的英文縮寫,工作在鏈路層,同時對上層(網絡層)提供服務。ARP 既然是地址轉換協議,它的主要功能就是把 IP 地址轉換爲 MAC 地址。
爲什麼要進行轉換呢?主要原因就是二層交換設備(二層交換機)是無法識別 32 位的 IP 地址的,只能根據 MAC 地址進行數據包的分發。
所以局域網內的一臺主機 A 想要與另一臺主機 B 通信就需要同時知道 B 的 IP 地址和 MAC 地址,IP 地址相當於你的姓名,但要確定要找的人是你,還需要知道你的身份證號,MAC 地址就相當於身份證號,全球唯一。
ARP 攻擊原理
上面說到 A 想要與另一臺主機 B 通信就需要同時知道 B 的 IP 地址和 MAC 地址。但是剛開始主機 A 是不知道主機 B 的 MAC 地址的,那麼他需要怎麼做呢?這是他就在 B 所在的小區裏大喊:“誰是 B ?”。這時 B 收到了就回復:“我是B,我的身份證號是XXX”。
A 收到 B 的回覆後就會把 B 的 IP 地址與 B 的 MAC 地址綁定,並寫入 A 的ARP 緩存表。Windows 下可以使用arp -a可查看 ARP 緩存表。
知道了 AB 如何通信的,下面來看一看如何進行 ARP 欺騙。從上面也可以看出,由於 A 是發送的廣播包(在小區大喊),所以所有人都能收到,一般來說不是叫自己,不搭理就完了。但若有人心懷不軌,那他就完全可以假冒 B,把自己的信息發給 A,讓 A 與自己通信。這也就是 ARP 欺騙的原理。
根據假冒角色的不同分爲兩種欺騙:
- 主機型 ARP 欺騙:欺騙者主機冒充網關設備對其他主機進行欺騙
- 網關型 ARP 欺騙:欺騙者主機冒充其他主機對網關設備進行欺騙
ARP 有個特點就是後到優先,也就是說後到的信息會替換以前的。比如,A 向 B 發送 ARP 請求報文後,B 和 攻擊者都會回覆,而 A 會存儲後回覆的。所以,攻擊者需要做的就是不停地向 A 發送迴應,直到 A 相信。
ARP 欺騙的危害
ARP 攻擊屬於中間人攻擊,攻擊者就相當於一箇中間人,可以截獲你和服務器通信時的信息,如假如一臺服務器搭建了 FTP 服務來上傳文件供其他人下載,你連接這臺服務器下載文件或上傳文件時需要輸入賬號密碼,攻擊者通過抓取你們的通信,就能獲得你登陸用的賬號和密碼。
ARP 攻擊還有一個危害就是可以讓你斷網,因爲攻擊者會發送大量的數據包,造成你的網絡擁塞。
ARP 攻擊的防護
對於普通用戶來說,安裝一些 ARP 防火牆就能防禦,許多殺毒防護軟件都自帶有。
如果還不行仍有兩種方案可以採取:
方案一:放棄 ARP 報文,改用PPTP PPOE之類的報文來連接。PPP協議有加密,消耗 CPU 很高。
方案二:使用靜態ARP設置,停用ARP報文。這個方案比較複雜,能徹底決解。但需要交換機支持,而且只有在交換機裏綁定了mac:ip的客戶機才能上網。