今天學的知識不多,忙了一天學校的東西,做了一上午路由實驗,下午做了個社會調查報告,晚上才騰出時間學一些,然後得知明兒竟然要補五一的課,然而我週二是剛好沒課的哈哈,下了兩天雨在家裏出不去,憋壞了,明兒去跑跑步吧
ARP攻擊之原理分析
什麼是ARP協議
ARP協議是“Address Resolution Protocol”(地址解析協議)的縮寫。在局域網中,網絡中實際傳輸的是“幀”,幀裏面是有目標主機的MAC地址的。注意:ARP是工作在數據鏈路層中
在以太網中,一個主機要和另一個主機進行直接通信,必須要知道目標主機的MAC地址。
但這個目標MAC地址是如何獲得的呢?它就是通過地址解析協議獲得的。所謂“地址解析”就是主機在發送幀前將目標IP地址轉換成目標MAC地址的過程。
ARP欺騙的危害
ARP欺騙可以造成內部網絡的混亂,讓某些被欺騙的計算機無法正常訪問內外網,讓網關無法和客戶端正常通信,也可以截取全網絡數據包等。
實際上他的危害還不僅僅如此,一般來說IP地址的衝突我們可以通過多種方法和手段來避免,而ARP協議工作在更低層,隱蔽性更高。系統並不會判斷ARP緩存的正確與否,無法像IP地址衝突那樣給出提示。
常見的就是讓主機無法上網,或者限制流量帶寬,IP地址衝突,例如“網絡執法官” , 除此之外還可以掛馬,無線釣魚,刷廣告連接
ARP欺騙的原理
什麼是中間人攻擊
在瞭解ARP攻擊之前先讓我們瞭解一下中間人攻擊(MITM)
中間人攻擊(Man in the Middle Attack,簡稱“MITM攻擊”)是一種間接的入侵攻擊。這種攻擊模式是通過各種技術手段,將受入侵者控制的一臺計算機虛擬放置在網絡連接中的兩臺通信計算機之間,這臺計算機就稱爲“中間人”。
中間人攻擊是包含了ARP攻擊的
還包括DNS欺騙 DHCP欺騙等
ARP欺騙的原理就是把自己的MAC地址僞造成網關的地址來欺騙其它的主機。
一般情況下,ARP欺騙並不是使網絡無法正常通信,而是通過冒充網關或其他主機使得到達網關或主機的數據流通過攻擊主機進行轉發。通過轉發流量可以對流量進行控制和查看,從而控制流量或得到機密信息。
當主機A和主機B之間通信時,如果主機A在自己的ARP緩存表中沒有找到主機B的MAC地址時,主機A將會向整個局域網中所有計算機發送ARP廣播,廣播後整個局域網中的計算機都收到了該數據。
單向ARP欺騙
這時候,主機C響應主機A,說我是主機B,我的MAC地址是XX-XX-XX-XX-XX-XX,主機A收到地址後就會重新更新自己的緩衝表。
緩衝表可以在CMD中arp -a查看
當主機A再次與主機B通信時,該數據將被轉發到攻擊主機(主機C)上,則該數據流會經過主機C轉發到主機B。
雙向ARP欺騙
A要跟C正常通訊,B向A說我是才C。B向C說我纔是A,那麼這樣的情況下把A跟C的ARP緩存表全部修改了。以後通訊過程就是 A把數據發送給B,B在發送給C,C把數據發送B,B在把數據給A。
攻擊主機發送ARP應答包給被攻擊主機和網關,它們分別修改其ARP緩存表, 修改的全是攻擊主機的MAC地址,這樣它們之間數據都被攻擊主機截獲。
ARP攻擊兩個必備條件
首先要有屬於內網裏的一臺服務武器
其次是對方內網沒有采用ARP防護的
現在很少有企業不做的,原因是最完善的方法是在路由器上需要綁定端口,IP MAC
網關綁定,缺點是之後IP地址改變之後,網管每次都要去更改,第二種方法是在自己電腦上把IP和MAC 網關綁定一下,但是很難去管理