ARP欺骗原理分析与攻防实战演练
合集下载
相关主题
- 1、下载文档前请自行甄别文档内容的完整性,平台不提供额外的编辑、内容补充、找答案等附加服务。
- 2、"仅部分预览"的文档,不可在线预览部分如存在完整性等问题,可反馈申请退款(可完整预览的文档不适用该条件!)。
- 3、如文档侵犯您的权益,请联系客服反馈,我们会尽快为您处理(人工客服工作时间:9:00-18:30)。
第 9 页
ARP攻防实战
arp攻击测试软件演试(T去内网机器) 聚生网管控制内网流量
第 10 页
ARP安全防范
查找本网段的网关地址,比如192.168.1.1,以下以此网关为例。在正常上网时, “开始→运行→cmd→确定”,输入:arp -a,点回车,查看网关对应的Physical Address。 比如:网关192.168.1.1 对应00-01-02-03-04-05。 步骤二: 编写一个批处理文件best.bat,内容如下: @echo off arp -d arp -s 192.168.0.115 00-16-36-f7-bd-5e 保存为:best.bat。 步骤三: 运行批处理文件将这个批处理文件拖到“Windows→开始→程序→启动”中,如果需 要立即生效,请运行此文件。 gpedit.msc_________________________
第 6 页
第三步:在计算机B上运行ARP欺骗程序,来发 送ARP欺骗包。
B向A发送一个自己伪造的ARP应答,而这个应答 中的数据为发送方IP地址是192.168.1.3(C的IP 地址),MAC地址是DD-DD-DD-DD-DD-DD(C 的MAC地址本来应该是CC-CC-CC-CC-CC-CC, 这里被伪造了)。当A接收到B伪造的ARP应答, 就会更新本地的ARP缓存(A可不知道被伪造 了)。而且A不知道其实是从B发送过来的,A这 里只有192.168.1.3(C的IP地址)和无效的DDDD-DD-DD-DD-DD mac地址。
*总结:ARP欺骗是把自己的MAC地址伪造成网关 的地址来欺骗其它的主机
第 4 页
第一步:假设这样一个网络,一个Hub或交换机 连接了3台机器,依次是计算机A,B,C。 A的地址为:IP:192.168.1.1 MAC: AA-AA-AAAA-AA-AA B的地址为:IP:192.168.1.2 MAC: BB-BB-BBBB-BB-BB C的地址为:IP:192.168.1.3 MAC: CC-CC-CCCC-CC-CC
第 7 页
第四步:欺骗完毕我们在A计算机上运行 ARP -A来查询ARP缓存信息。你会发现原 来正确的信息现在已经出现了错误。
Interface: 192.168.1.1 on Interface 0x1000003 Internet Address Physical Address Type 192.168.1.3 DD-DD-DD-DD-DD-DD dynamic
第 5 页
Hale Waihona Puke Baidu
第二步:正常情况下在A计算机上运行ARP -A查询ARP缓存表应该出现如下信息。
Interface: 192.168.1.1 on Interface 0x1000003 Internet Address Physical Address Type 192.168.1.3 CC-CC-CC-CC-CC-CC dynamic
第 2 页
什么是ARP协议
ARP协议是“Address Resolution Protocol”(地址解析协议)的缩 写。在局域网中,网络中实际传输的是“帧”,帧里面是有目标主 机的MAC地址的。在以太网中,一个主机要和另一个主机进行直 接通信,必须要知道目标主机的MAC地址。但这个目标MAC地址 是如何获得的呢?它就是通过地址解析协议获得的。所谓“地址解 析”就是主机在发送帧前将目标IP地址转换成目标MAC地址的过程。 ARP协议的基本功能就是通过目标设备的IP地址,查询目标设备的 MAC地址,以保证通信的顺利进行。所以说从某种意义上讲ARP 协议是工作在更低于IP协议的协议层。这也是为什么ARP欺骗更能 够让人在神不知鬼不觉的情况下出现网络故障,他的危害更加隐蔽。
第 8 页
从上面的介绍我们可以清楚的明白原来网络中传输数据包最后都是要 根据MAC地址信息的,也就是说虽然我们日常通讯都是通过IP地址, 但是最后还是需要通过ARP协议进行地址转换,将IP地址变为MAC地 址。而上面例子中在计算机A上的关于计算机C的MAC地址已经错误 了,所以即使以后从A计算机访问C计算机这个192.168.1.3这个地址 也会被ARP协议错误的解析成MAC地址为DD-DD-DD-DD-DD-DD的。 问题也会随着ARP欺骗包针对网关而变本加厉,当局域网中一台机器, 反复向其他机器,特别是向网关,发送这样无效假冒的ARP应答信息 包时,严重的网络堵塞就会开始。由于网关MAC地址错误,所以从网 络中计算机发来的数据无法正常发到网关,自然无法正常上网。这就 造成了无法访问外网的问题,另外由于很多时候网关还控制着我们的 局域网LAN上网,所以这时我们的LAN访问也就出现问题了。
目录
ARP欺骗的危害 什么是ARP协议 ARP欺骗的原理 ARP攻防实战 ARP安全防范
第 1 页
ARP欺骗的危害
ARP欺骗可以造成内部网络的混乱,让某些被欺骗的计算机无法正常 访问内外网,让网关无法和客户端正常通信。实际上他的危害还不仅 仅如此,一般来说IP地址的冲突我们可以通过多种方法和手段来避免, 而ARP协议工作在更低层,隐蔽性更高。系统并不会判断ARP缓存的 正确与否,无法像IP地址冲突那样给出提示。而且很多黑客工具例如 网络剪刀手等,可以随时发送ARP欺骗数据包和ARP恢复数据包,这 样就可以实现在一台普通计算机上通过发送ARP数据包的方法来控制 网络中任何一台计算机的上网与否,甚至还可以直接对网关进行攻击, 让所有连接网络的计算机都无法正常上网。这点在以前是不可能的, 因为普通计算机没有管理权限来控制网关,而现在却成为可能,所以 说ARP欺骗的危害是巨大的,而且非常难对付,非法用户和恶意用户 可以随时发送ARP欺骗和恢复数据包,这样就增加了网络管理员查找 真凶的难度。那么难道就没有办法来阻止ARP欺骗问题的发生吗?
第 3 页
ARP欺骗的原理
首先我们可以肯定一点的就是发送ARP欺骗包是 通过一个恶毒的程序自动发送的,正常的TCP/IP 网络是不会有这样的错误包发送的,而人工发送 又比较麻烦。也就是说当黑客没有运行这个恶毒 程序的话,网络上通信应该是一切正常的,保留 在各个连接网络计算机上的ARP缓存表也应该是 正确的,只有程序启动开始发送错误ARP信息以 及ARP欺骗包时才会让某些计算机访问网络出现 问题。接下来我们来阐述下ARP欺骗的原理.