ARP欺骗攻击及其防御
合集下载
- 1、下载文档前请自行甄别文档内容的完整性,平台不提供额外的编辑、内容补充、找答案等附加服务。
- 2、"仅部分预览"的文档,不可在线预览部分如存在完整性等问题,可反馈申请退款(可完整预览的文档不适用该条件!)。
- 3、如文档侵犯您的权益,请联系客服反馈,我们会尽快为您处理(人工客服工作时间:9:00-18:30)。
目录
1. 2. 3. 4. ARP定义 ARP攻击的原理 ARP攻击实例 ARP攻击的防范措施
ARP的定义
• ARP是地址转换协议的英文缩写,用于将计算机的网络地 址(32位的IP地址)转化为物理地址(48位的MAC地址) 属于链路层协议
而ARP攻击就是指黑客利用ARP协议缺陷 的基本原理,通过在区域内一台终端或服 务器上发布欺骗ARP广播包以达到进行盗 取用户帐号、篡改网站内容、嵌入恶意代 码、发布不良信息、监听传输数据等非法 活动的目的。
否
发广播包B 的MAC是 多少 C回答MAC CCCCCC
是
读取 ARP缓 存表
更 新 A 的 ARP缓存表
连接B
错误连接 CCCCCC
ARP攻击实例
• 系统环境:两台同一局域网的电脑 攻击电 脑使用工具Arp cheat and sniffer v2.1 并安 装WinPcap_4_1_2 (要做嗅探就要安装这 个软件) • 目标IP 10.132.245.72 网关 10.132.245.254 端口80
正常ARP查询流程
A连接B
ARP欺骗流程
A 连 接 B
需要知道 B 的的ARP 缓存表是 否有B的 MAC 是 读取ARP缓 存表
否
发广播包B 的MAC是 多少 B回答MAC bbbbb b 更 新 A 的 ARP缓存表
A的 ARP 缓存表是 否有B的 MAC
ARP欺骗攻击原理
• 每台主机的ARP表的更新是信任广播域内 所有机器的应答包,也就是在说在ARP协 议中,接受回应帧的主机无法验证应答包 的真伪。而是直接用应答包里的MAC地址 与IP地址替换掉ARP缓存表中原有的相应 信息 • 由于ARP 缓存表项是动态更新的,其生命 周期默认是两分钟 • 所以很容易进行欺骗的。
目标登录qq邮箱 攻击者获取的一段有关目标qq的cookie
ARP攻击防范措施
ARP攻击防范策略需要从三方面同时入手:
• • • 计算机系统安全加固、 MAC-ARP对应表管理、 以及网络非法ARP包探测。
ARP攻击防范措施
具体方法有: • 设置静态的MAC to IP对应表,并防止黑客刷新静态转 换表。 • 使用MAC地址管理服务器。通过该服务器查找自己的 ARP转换表来响应其他机器的ARP广播。 • 使用代理IP的传输。 • 使用防火墙隔离非信任域对内网机器的ARP包传输。 • 定期使用rarp请求来检查ARP响应的真实性。 • 定期轮询检查主机上的ARP缓存。 • 使用ARP探测工具,在网络上探测非法ARP广播数据帧。
运行cmd 打开Arp cheat and sniffer v2.1(c)
含义:嗅探10.132.245.72 与其他主机的TCP连接情况并指定目的 端口是80 采用的是双向嗅探的方式,最大记录文件是1MB 嗅探结果 输出到c盘的2.txt 10.132.245.254是网关的地址
欺骗完成 当目标连网时就能记录它的行为 盗取他的帐号密码
1. 2. 3. 4. ARP定义 ARP攻击的原理 ARP攻击实例 ARP攻击的防范措施
ARP的定义
• ARP是地址转换协议的英文缩写,用于将计算机的网络地 址(32位的IP地址)转化为物理地址(48位的MAC地址) 属于链路层协议
而ARP攻击就是指黑客利用ARP协议缺陷 的基本原理,通过在区域内一台终端或服 务器上发布欺骗ARP广播包以达到进行盗 取用户帐号、篡改网站内容、嵌入恶意代 码、发布不良信息、监听传输数据等非法 活动的目的。
否
发广播包B 的MAC是 多少 C回答MAC CCCCCC
是
读取 ARP缓 存表
更 新 A 的 ARP缓存表
连接B
错误连接 CCCCCC
ARP攻击实例
• 系统环境:两台同一局域网的电脑 攻击电 脑使用工具Arp cheat and sniffer v2.1 并安 装WinPcap_4_1_2 (要做嗅探就要安装这 个软件) • 目标IP 10.132.245.72 网关 10.132.245.254 端口80
正常ARP查询流程
A连接B
ARP欺骗流程
A 连 接 B
需要知道 B 的的ARP 缓存表是 否有B的 MAC 是 读取ARP缓 存表
否
发广播包B 的MAC是 多少 B回答MAC bbbbb b 更 新 A 的 ARP缓存表
A的 ARP 缓存表是 否有B的 MAC
ARP欺骗攻击原理
• 每台主机的ARP表的更新是信任广播域内 所有机器的应答包,也就是在说在ARP协 议中,接受回应帧的主机无法验证应答包 的真伪。而是直接用应答包里的MAC地址 与IP地址替换掉ARP缓存表中原有的相应 信息 • 由于ARP 缓存表项是动态更新的,其生命 周期默认是两分钟 • 所以很容易进行欺骗的。
目标登录qq邮箱 攻击者获取的一段有关目标qq的cookie
ARP攻击防范措施
ARP攻击防范策略需要从三方面同时入手:
• • • 计算机系统安全加固、 MAC-ARP对应表管理、 以及网络非法ARP包探测。
ARP攻击防范措施
具体方法有: • 设置静态的MAC to IP对应表,并防止黑客刷新静态转 换表。 • 使用MAC地址管理服务器。通过该服务器查找自己的 ARP转换表来响应其他机器的ARP广播。 • 使用代理IP的传输。 • 使用防火墙隔离非信任域对内网机器的ARP包传输。 • 定期使用rarp请求来检查ARP响应的真实性。 • 定期轮询检查主机上的ARP缓存。 • 使用ARP探测工具,在网络上探测非法ARP广播数据帧。
运行cmd 打开Arp cheat and sniffer v2.1(c)
含义:嗅探10.132.245.72 与其他主机的TCP连接情况并指定目的 端口是80 采用的是双向嗅探的方式,最大记录文件是1MB 嗅探结果 输出到c盘的2.txt 10.132.245.254是网关的地址
欺骗完成 当目标连网时就能记录它的行为 盗取他的帐号密码