精华内容
下载资源
问答
  • ARP原理和ARP攻击

    万次阅读 多人点赞 2018-10-12 17:01:24
    ARP--在TCP/IP协议栈中,最不安全的协议莫过于ARP了,我们经常听到的网络扫描,内网渗透,流量欺骗等等,他们基本上都与ARP有关系,甚至可以说,他们的... ARP攻击 一、ARP协议 ARP(Address Resolution Protoc...

    ARP--在TCP/IP协议栈中,最不安全的协议莫过于ARP了,我们经常听到的网络扫描,内网渗透,流量欺骗等等,他们基本上都与ARP有关系,甚至可以说,他们的底层都是基于ARP实现的。但是ARP的是实现仅需一问一答的两个包即可,实现上很简单。



    目录

    • ARP协议

    • ARP数据包信息

    • ARP攻击


    一、ARP协议

    ARP(Address Resolution Protocol)地址解析协议,目的是实现IP地址到MAC地址的转换。

    在计算机间通信的时候,计算机要知道目的计算机是谁(就像我们人交流一样,要知道对方是谁),这中间需要涉及到MAC地址,而MAC是真正的电脑的唯一标识符。

    为什么需要ARP协议呢?因为在OSI七层模型中,对数据从上到下进行封装发送出去,然后对数据从下到上解包接收,但是上层(网络层)关心的IP地址,下层关心的是MAC地址,这个时候就需要映射IP和MAC。

     

    ARP之简单请求应答

        当两台计算机在同一个局域网通信,我们以ping命令为例,该命令使用的ICMP协议

     

     

    PC1依据OSI模型①依次从上至下对数据进行封装,包括对ICMP Date加IP包头的封装,但是到了封装MAC地址的时候,②PC1首先查询自己的ARP缓存表,发现没有IP2和他的MAC地址的映射,这个时候MAC数据帧封装失败。我们使用ping命令的时候,是指定PC2的IP2的,计算机是知道目的主机的IP地址,能够完成网络层的数据封装,因为设备通信还需要对方的MAC地址,但是PC1的缓存表里没有,所以在MAC封装的时候填入不了目的MAC地址。

     

    那么PC1为了获取PC2的MAC地址,③PC1要发送询问信息,询问PC2的MAC地址,询问信息包括PC1的IP和MAC地址、PC2的IP地址,这里我们想到一个问题,即使是询问信息,也是需要进行MAC数据帧的封装,那这个询问信息的目的MAC地址填什么呢,规定当目的MAC地址为ff-ff-ff-ff-ff-ff时,就代表这是一个询问信息,也即使后面我要说的广播。

     

    PC2收到这个询问信息后,将这里面的IP1和MAC1(PC1的IP和MAC)添加到本地的ARP缓存表中,然后④PC2发送应答信息,对数据进行IP和MAC的封装,发送给PC1,因为缓存表里已经有PC1的IP和MAC的映射了呢。这个应答信息包含PC2的IP2和MAC2。PC1收到这个应答信息,理所应当的就获取了PC2的MAC地址,并添加到自己的缓存表中。

     

    经过这样交互式的一问一答,PC1和PC2都获得了对方的MAC地址,值得注意的是,目的主机先完成ARP缓存,然后才是源主机完成ARP缓存。之后PC1和PC2就可以真正交流了。

     

    ARP之广播请求单播回应

        上图面的图解是不完全的ARP协议,因为在局域网里边不会只有两台主机,这里就要考虑如何在局域网众多主机里获得目的主机的MAC。

     

    和上面的一样,刚开始PC1并不知道PC2的MAC地址,同样需要发送ARP请求,但是这个局域网里主机很多,怎么唯独获取PC2的MAC呢,①我们想到和一群陌生人交流一样,可以挨着询问一遍,这就是我们要说的广播,首先PC1广播发送询问信息(信息和上一张图介绍的一样),在这个普通交换机上连接的设备都会受到这个PC1发送的询问信息。

     

    接下来②需要做的是,所有在这个交换机上的设备需要判断此询问信息,如果各自的IP和要询问的IP不一致,则丢弃,如图PC3、Route均丢弃该询问信息,而对于PC2判断该询问信息发现满足一致的要求,则接受,同样的写入PC1的IP和MAC到自己的ARP映射表中。

     

    最后,③PC2单播发送应答信息给PC1,告诉PC1自己的IP和MAC地址。


    二、ARP数据包信息

     

    ARP数据的详细信息列表如下

     

     

         Hardware type  硬件类型,标识链路层协议
         Protocol type  协议类型,标识网络层协议
         Hardware size   硬件地址大小,标识MAC地址长度,这里是6个字节(48bit)
         Protocol size  协议地址大小,标识IP地址长度,这里是4个字节(32bit)
            Opcode  操作代码,标识ARP数据包类型,1表示请求,2表示回应
       Sender MAC address   发送者MAC
        Sender IP address  发送者IP
       Target MAC address  目标MAC,此处全0表示在请求
        Target IP address  目标IP

     

    ARP请求包

     

     

    ARP应答包

    内容格式和上图相似,不过会有目的地址对应的MAC地址,ARP数据包类型字段为2。


    三、ARP攻击

     

    我们知道,当PC1对PC2正常通信的时候(先别管攻击者PC3),PC2、PC1会先后建立对方的IP和MAC地址的映射(即建立ARP缓存表),同时对于交换机而言,它也具有记忆功能,会基于源MAC地址建立一个CAM缓存表(记录MAC对应接口的信息),理解为当PC1发送消息至交换机的Port1时,交换机会把源MAC(也就是MAC1)记录下来,添加一条MAC1和Port1的映射,之后交换机可以根据MAC帧的目的MAC进行端口转发,这个时候PC3只是处于监听状态,会把PC1的广播丢弃。

     

    正常的PC3会把广播包丢弃,同样的PC3可以抓住这一环节的漏洞,把不属于自己的广播包接收,同时回应一个虚假的回应包,告诉PC1我就是PC2

    (IP2-MAC3),这样PC1会收到两个回应包(一个正确的IP2-MAC2,一个虚假的IP2-MAC3),但是PC1并不知道到底哪个是真的,所以PC1会做出判断,并且判断后到达的为真,那么怎么让虚假的回应包后到达呢,PC3可以连续不断的发送这样的回应包,总会把哪个正确的回应包覆盖掉。

     

    而后PC1会建立IP2-MAC3这样一条ARP缓存条目,以后当PC1给PC2发送信息的时候,PC1依据OSI模型从上至下在网络层给数据封装目的IP为IP2的包头,在链路层通过查询ARP缓存表封装目的MAC为MAC3的数据帧,送至交换机,根据查询CAM表,发现MAC3对应的接口为Port3,就这样把信息交付到了PC3,完成了一次ARP攻击。

     

     

    如果ARP攻击严重话,会导致同一个局域网(也是同一个广播域)的所有主机的ARP缓存表中都存放着错误的IP和MAC的映射,如上图,每台主机的ARP缓存表中,不论哪个IP,都会映射到攻击者的MAC地址MAC1上,这样该局域网内的所有主机的消息都发送到Hacker的主机上。

    转自:http://blog.51cto.com/13570193/2083332

    展开全文
  • arp攻击

    2013-04-18 17:31:01
    网络安全里面的arp攻击
  • ARP攻击

    2020-04-24 13:43:36
    ARP协议 ARP攻击 回到顶部 知乎:叄贰壹 简书:带只拖鞋去流浪 关注我,带你一起写bug warning :未经授权,不得转载 有问题的小伙伴请在下方留言,喜欢就点个赞吧 ...

    1. ARP协议
    2. ARP攻击

    在这里插入图片描述

    回到顶部



    在这里插入图片描述

    知乎:叄贰壹

    简书:带只拖鞋去流浪

    关注我,带你一起写bug

    warning :未经授权,不得转载

    有问题的小伙伴请在下方留言,喜欢就点个赞吧

    展开全文
  • ARP 攻击

    2019-09-21 17:34:40
    ARP攻击  网络经常掉线、发生IP冲突、担心通讯数据受到监控(如MSN、QQ、EMAIL)、网络速度受到网管软件限制(如聚生网管、P2P终结者)、甚至深受各种ARP攻击软件之苦(如网络执法官、网络剪刀手、局域网终结者)...

    ARP攻击

      网络经常掉线、发生IP冲突、担心通讯数据受到监控(如MSN、QQ、EMAIL)、网络速度受到网管软件限制(如聚生网管、P2P终结者)、甚至深受各种ARP攻击软件之苦(如网络执法官、网络剪刀手、局域网终结者)等这些问题是我们上网时经常遇到呃,而这些问题的产生 ,根源都是ARP欺骗(ARP攻击)。

      在没有ARP欺骗之前,数据流向是这样的:网关<->本机。ARP欺骗之后,数据流向是这样的:网 关<->攻击者(“网管”)<->本机,本机与网关之间的所有通讯数据都将流经攻击者(“网管”),所以“任人宰割”就在所难免 了。

      ARP防火墙通过在系统内核层拦截虚假ARP数据包以及主动通告网关本机正确的MAC地址,可以保障数据流向正确,不经过第三者,从而保证通讯数据安全、保证网络畅通、保证通讯数据不受第三者控制,从而完美的解决上述所有问题。

      通常ARP协议都在支持广播的网络上使用,比方以太网,这种数据包不能跨物理网段使用,即不能跨越一个路由器(除路由器本身还用作ARP代理以外)。

      故障现象:机器以前可正常上网的,突然出现可认证,不能上网的现象(无法ping通网关),重启机器或在MSDOS窗口下运行命令ARP -d后,又可恢复上网一段时间。

    ARP攻击防范

      如果你发现经常网络掉线,或者发现自己的网站所有页面都被挂马,但到服务器上,查看页面源代码,却找不到挂马代码,就要考虑到是否自己机器或者同一IP段中其他机器是否中了ARP病毒。除了装ARP防火墙以外,还可以通过绑定网关的IP和MAC来预防一下。这个方法在局域网中比较适用:

      你所在的局域网里面有一台机器中了ARP病毒,它伪装成网关,你上网就会通过那台中毒的机器,然后它过一会儿掉一次线来骗取别的机器的帐户密码什么的东西。

    如何检查和处理“ ARP 欺骗”木马的方法:

    1、 检查本机的“ ARP 欺骗”木马染毒进程
      同时按住键盘上的“ CTRL ”和“ ALT ”键再按“ DEL ”键,选择“任务管理器”,点选“进程”标签。察看其中是否有一个名为“ MIR0.dat ”的进程。如果有,则说明已经中毒。右键点击此进程后选择“结束进程”。

    2、 检查网内感染“ ARP 欺骗”木马染毒的计算机
      在“开始” - “程序” - “附件”菜单下调出“命令提示符”。输入并执行以下命令:
      ipconfig
      记录网关 IP 地址,即“ Default Gateway ”对应的值,例如“ 59.66.36.1 ”。再输入并执行以下命令:
      arp –a
      在“ Internet Address ”下找到上步记录的网关 IP 地址,记录其对应的物理地址,即“ Physical Address ”值,例如“ 00-01-e8-1f-35-54 ”。在网络正常时这就是网关的正确物理地址,在网络受“ ARP 欺骗”木马影响而不正常时,它就是木马所在计算机的网卡物理地址。
      也可以扫描本子网内的全部 IP 地址,然后再查 ARP 表。如果有一个 IP 对应的物理地址与网关的相同,那么这个 IP 地址和物理地址就是中毒计算机的 IP 地址和网卡物理地址。

    3、设置 ARP 表避免“ ARP 欺骗”木马影响的方法
      本方法可在一定程度上减轻中木马的其它计算机对本机的影响。用上边介绍的方法确定正确的网关 IP 地址和网关物理地址,然后在 “命令提示符”窗口中输入并执行以下命令:
      arp –s 网关 IP 网关物理地址

    4、静态ARP绑定网关

    步骤一:
      在能正常上网时,进入MS-DOS窗口,输入命令:arp -a,查看网关的IP对应的正确MAC地址, 并将其记录下来。
      注意:如果已经不能上网,则先运行一次命令arp -d将arp缓存中的内容删空,计算机可暂时恢复上网(攻击如果不停止的话)。一旦能上网就立即将网络断掉(禁用网卡或拔掉网线),再运行arp -a。

    步骤二:
      如果计算机已经有网关的正确MAC地址,在不能上网只需手工将网关IP和正确的MAC地址绑定,即可确保计算机不再被欺骗攻击。

      要想手工绑定,可在MS-DOS窗口下运行以下命令:
      arp -s 网关IP 网关MAC

    例如:

      假设计算机所处网段的网关为192.168.1.1,本机地址为192.168.1.5,在计算机上运行arp -a后输出如下:
      Cocuments and Settings>arp -a
      Interface:192.168.1.5 --- 0x2
      Internet Address Physical Address Type
      192.168.1.1 00-01-02-03-04-05 dynamic
      其中,00-01-02-03-04-05就是网关192.168.1.1对应的MAC地址,类型是动态(dynamic)的,因此是可被改变的。
      被攻击后,再用该命令查看,就会发现该MAC已经被替换成攻击机器的MAC。
      如果希望能找出攻击机器,彻底根除攻击,可以在此时将该MAC记录下来,为以后查找该攻击的机器做准备。

      手工绑定的命令为:
      arp -s 192.168.1.1 00-01-02-03-04-05
      绑定完,可再用arp -a查看arp缓存:
      Cocuments and Settings>arp -a
      Interface: 192.168.1.5 --- 0x2
      Internet Address Physical Address Type
      192.168.1.1 00-01-02-03-04-05 static
      这时,类型变为静态(static),就不会再受攻击影响了。

      但是,需要说明的是,手工绑定在计算机关机重启后就会失效,需要再次重新绑定,不过也可以写个批处理,拖到启动中。脚本如下:
      @echo off
      arp -s192.168.1.1 00-01-02-03-04-05
      end
      保存为*.bat的文件。放在开机启动中。
      要彻底根除攻击,只有找出网段内被病毒感染的计算机,把病毒杀掉,才算是真正解决问题。

     

     

    参考:http://baike.baidu.com/view/923722.htm

       http://www.heibai.net/articles/defense/fangyujiqiao/2010/0929/10229.html

       http://pczone.5d6d.com/thread-650-1-1.html

       

    转载于:https://www.cnblogs.com/adforce/archive/2012/02/19/2358293.html

    展开全文
  • ARP攻击ARP攻击

    2011-11-14 22:50:33
    ARP攻击ARP攻击 ARP攻击ARP攻击 ARP攻击ARP攻击 ARP攻击ARP攻击
  • 主要介绍了什么是arp攻击?常见arp攻击有哪些?本文讲解了ARP正常工作、ARP欺骗攻击、ARP攻击为什么会掉网等内容,需要的朋友可以参考下
  • 电脑基础攻击防范ARP攻击防范实例ARP攻击防范实例ARP攻击防范实例ARP攻击防范实例ARP攻击防范实例ARP攻击防范实例
  • ARP攻击防护工具ARP攻击防护工具ARP攻击防护工具ARP攻击防护工具
  • arp攻击教程

    2018-05-03 12:57:44
    arp攻击教程 arp攻击教程 arp攻击教程 arp攻击教程 arp攻击教程

空空如也

空空如也

1 2 3 4 5 ... 20
收藏数 25,914
精华内容 10,365
关键字:

arp攻击