当前位置: 移动技术网 > 网络运营>安全>企业安全 > ARP欺骗攻击详解

ARP欺骗攻击详解

2018年03月18日  | 移动技术网网络运营  | 我要评论

arp(地址解析协议)是在仅知道主机的ip地址时确定其物理地址的一种协议。因ipv4和以太网的广泛应用,其主要用作将ip地址翻译为以太网的mac地址,但其也能在atm和fddi ip网络中使用。本文将为大家详细剖析arp欺骗,它主要分为双向欺骗和单向欺骗。

一、arp通讯协议过程

由于局域网的网络流通不是根据ip地址进行,而是按照mac地址进行传输、计算机是根据mac来识别一台机器。

区域网内a要向主机b发送报文,会查询本地的arp缓存表,找到b的ip地址对应的mac地址后,就会进行数据传输。如果未找到,则a广播一个arp请求报文(携带主机b的ip地址),网上所有主机包括b都收到arp请求,但只有主机b识别自己的ip地址,于是向a主机发回一个arp响应报文。其中就包含有b的mac地址,a接收到b的应答后,就会更新本地的arp缓存。接着使用这个mac地址发送数据(由网卡附加mac地址)。

二、一次完整的arp欺骗

arp 欺骗分为两种,一种是双向欺骗,一种是单向欺骗:

1.单向欺骗

a的地址为:ip:192.168.10.1 mac: aa-aa-aa-aa-aa-aa

b的地址为:ip:192.168.10.2 mac: bb-bb-bb-bb-bb-bb

c的地址为:ip:192.168.10.3 mac: cc-cc-cc-cc-cc-cc

a和c之间进行通讯.但是此时b向a发送一个自己伪造的arp应答,而这个应答中的数据为发送方ip地址是192.168.10.3(c的ip地址),mac地址是bb-bb-bb-bb-bb-bb(c的mac地址本来应该是cc-cc-cc-cc-cc-cc,这里被伪造了)。当a接收到b伪造的arp应答,就会更新本地的arp缓存(a被欺骗了),这时b就伪装成c了。同时,b同样向c发送一个arp应答,应答包中发送方ip地址四192.168.10.1(a的ip地址),mac地址是bb-bb-bb-bb-bb-bb(a的mac地址本来应该是aa-aa-aa-aa-aa-aa),当c收到b伪造的arp应答,也会更新本地arp缓存(c也被欺骗了),这时b就伪装成了a。这样主机a和c都被主机b欺骗,a和c之间通讯的数据都经过了b。主机b完全可以知道他们之间说的什么:)。这就是典型的arp欺骗过程。

掐断a 与 c的通讯,实现原理:b 向a 发送一条arp 数据包,内容为:c的地址是00:00:00:00:00:00 (一个错误的地址),那么a 此后向c发的数据包都会发到00,而这个地址是错误的,所以通讯中断了,但是要注意了,这里只是a --> c 中断了,c --> a 没有中断,所以这个叫单向欺骗。

掐断c与a 的通讯,实现原理和第一条一样,如果和第一条一起发,那么a 和c 的通讯就完全中断了,即:a <-- ×--> c.

嗅探a 与c 的通讯,实现原理:b 向a 发送一条arp 数据包,内容为:c的地址是aa:bb:cc:dd:ee:ff (b自己的地址),也就是说,b 对 a 说:我才是c,于是a 把向c发送的数据都发给b 了,b得到数据后就可以为所欲为了,可以直接丢弃,那么通讯中断,也可以再次转发给c,那么又形成回路,b当了个中间人,监视a 和c 的通讯.此时你就可以用cain等任何抓包工具进行本地嗅探了.

2.arp双向欺骗原理

a要跟c正常通讯,b向a说我是才c。b向c说我才是a,那么这样的情况下把a跟c的arp缓存表全部修改了。以后通讯过程就是 a把数据发送给b,b在发送给c,c把数据发送b,b在把数据给a。

攻击主机发送arp应答包给被攻击主机和网关,它们分别修改其arp缓存表为, 修改的全是攻击主机的mac地址,这样它们之间数据都被攻击主机截获。

三、双向欺骗与单向欺骗的区别

单向欺骗:是指欺骗网关,分别有三个机器  a(网关) b(server) c(server) 。a要跟c正常通讯。b给a说我才是c,那么a就把数据就给c了,此时a就把原本给c的数据给了b了,a修改了本地的缓存表,但是c跟a的通讯还是正常的。只是a跟c的通讯不正常。

双向欺骗:是欺骗网关跟被攻击的两个机器,a(网关) b(server) c(server),a要跟c正常通讯.b对a说我是c,b对c说我是a,那么这样的情况下a跟c的arp缓存表全部修改了,发送的数据全部发送到b那里去了。

四、找到arp欺骗主机

1.我们可以利用arpkiller的"sniffer杀手"扫描整个局域网ip段,然后查找处在"混杂"模式下的计算机,就可以发现对方了.检测完成后,如果相应的ip是绿帽子图标,说明这个ip处于正常模式,如果是红帽子则说明该网卡处于混杂模式。它就是我们的目标,就是这个家伙在用网络执法官在捣乱。

2.使用tracert命令在任意一台受影响的主机上,在dos命令窗口下运行如下命令:tracert61.135.179.148。假定设置的缺省网关为10.8.6.1,在跟踪一个外网地址时,第一跳却是10.8.6.186,那么,10.8.6.186就是病毒源。原理:中毒主机在受影响主机和网关之间,扮演了“中间人”的角色。所有本应该到达网关的数据包,由于错误的mac地址,均被发到了中毒主机。此时,中毒主机越俎代庖,起了缺省网关的作用。

五、防护办法

1.最常用的方法就是做双绑定, 本地跟路由都做了绑定(注:mac地址绑定)

2.彩影arp防火墙

六、黑客常用的突破 arp 防火墙的嗅探技术

黑客常用的突破 arp 防火墙的嗅探技术,流程如下:

破arp 防火墙的原理,就是不停地发包到网关(每秒几十次),对网关说我是真的机器,避免其他机器冒充本机。(比如目标机器是a  你是b 你向网关说我是才a),由于你发的频率高,所以在很短的时间周期内,网关认为你是受害机器,so,目标机器的正常数据包就发过来啦。

以上就是小编深入分析的arp欺骗攻击,从原理到防护方法,内容很全面,希望对大家了解arp欺骗攻击有所帮助。

您可能感兴趣的文章:

如对本文有疑问, 点击进行留言回复!!

相关文章:

验证码:
最近更新的文章
大家感兴趣的文章
移动技术网