ARP和ARP欺骗详解
合集下载
相关主题
- 1、下载文档前请自行甄别文档内容的完整性,平台不提供额外的编辑、内容补充、找答案等附加服务。
- 2、"仅部分预览"的文档,不可在线预览部分如存在完整性等问题,可反馈申请退款(可完整预览的文档不适用该条件!)。
- 3、如文档侵犯您的权益,请联系客服反馈,我们会尽快为您处理(人工客服工作时间:9:00-18:30)。
ARP和ARP欺骗
Biblioteka Baidu
ARP
• ARP是处于网络层的IP协议的辅助协议 • ARP:地址解析协议 Address Resolution Protocol • 网络层在传递信息包时,利用网络层地址 (如:IP地址)来识别目标设备 • 数据链路层在传递信息包时,利用数据链 路层地址(以太网中使用MAC地址)来识 别目标设备
ARP运作方式
• ARP应答:网段内所有主机都会收到此ARP请求 的广播信息包,并与自身的IP地址对比,确定自 己是否为要解析的对象,只有B主机是要解析的 对象,因此B主机发送ARP应答包,通知A主机自 己的MAC地址
ARP 应答
ARP 应答
ARP运作方式
• 因为B主机已经从ARP请求信息包得知A主机的 IP地址与MAC地址,ARP应答包就不必再使用广 播方式,可直接指定A主机的MAC地址为目标 地址 • 同时B主机将A主机的MAC地址存入ARP缓存, 以备将来使用 • A主机得到B主机的MAC地址后,把它作为以太 网数据帧的目标地址向B主机发送数据 • 同时A主机将刚刚得到的B主机的MAC地址存入 ARP缓存
跨网段的ARP解析
• 以太网广播包只能在同一网段内传送,路由器会 挡住以太网广播信息包,使之无法跨越到其他网 段,因此ARP只能解析同一网段内的MAC地址, 无法解析其他网段的MAC地址 • 若目标主机与源主机不在同一网段,中间需要经 过路由器时,就会出现多次ARP地址解析
A
ARP请求 ARP应答
以太网首部
ARP/RARP数据
• 以太网目标地址:MAC地址全1表示广播地址(FF-FFFF-FF-FF-FF) • 以太网源地址:发送主机的MAC地址 • 帧类型:以太网数据帧可以传送ARP/RARP数据包, 也可以传送IP数据包。帧类型指明后面数据的类型, ARP/RARP数据包的帧类型为0x0806 • 硬件类型:表示硬件地址的类型,1表示以太网地址 • 协议类型:表示要映射的协议地址的类型,其值为 0x0800时表示将硬件地址转换为IP地址
地址解析协议ARP
• IP地址是网络层的概念,IP数据包要在数据链 路层上传输,必须使用数据链路层地址,在以 太网上,数据链路层使用的是48位的MAC地址 • 网络层传递信息包给数据链路层时,必须先取 得目标设备的MAC地址 32位IP地址 • 在TCP/IP协议中使用地址解析 ARP 协议ARP来取得网络层地址 (IP地址)对应的数据链路层 48位MAC地址 地址(MAC地址)
ARP缓存表 192.168.1.1 01-01-01-01-01-01 192.168.1.2 02-02-02-02-02-02
ARP欺骗有两种
对路由器ARP表的欺骗
原理:截获网关数据 它通知路由器一系列错 误的内网MAC地址,并 按照一定的频率不断进 行,使真实的地址信息 无法通过更新保存在路 由器中,导致路由器的 所有数据包只能发送给 错误的MAC地址,造成 正常PC无法收到信息
ARP欺骗
• ARP地址解析协议是建立在网络中各个主机互
相信任的基础上的。 • 网络上的主机可以自主发送ARP应答消息,其 他主机收到应答报文时不会检测该报文的真实 性,就会将其记入本机ARP缓存。 • 由此攻击者就可以向某一主机发送伪ARP应答 报文,使其发送的信息无法到达预期的主机或
到达错误的主机,这就构成了ARP欺骗。
对本网段PC的网关欺骗
原理:伪造网关 它建立假网关,让被它 欺骗的PC向假网关发送 数据包,而不是通过正 常的路由器途径上网。 在PC看来,就是上不了 网了、掉线了
ARP病毒
• ARP病毒的行为方式一般就是“欺骗网关、欺 骗网内的所有主机”,其最终结果是: 在网关的ARP缓存表中,网内所有活动主机 的MAC地址均为中毒主机的MAC地址 网内所有主机的ARP缓存表中,网关的MAC 地址也成为中毒主机的MAC地址 • 前者保证了从网关到网内主机的数据包被发到 中毒主机,后者则使得主机发往网关的数据包 均发送到中毒主机。
伪造的ARP Reply包:192.168.1.1的 MAC地址是03-03-03-03-03-03
B主机感染了 ARP病毒!
主机B:IP: 192.168.1.3 MAC: 03-03-03-03-03-03
ARP缓存表 192.168.1.1 03-03-03-03-03-03 192.168.1.3 03-03-03-03-03-03
路 由 器
ARP请求
B
ARP应答
ARP缓存
• ARP请求是数据链路层的广播包,如果经常出 现,必然增加网络负担,为了避免这种情况, 加入了ARP缓存设计 • ARP缓存中记录了常用设备的IP/MAC地址 • 系统每次要解析MAC地址前,先在ARP缓存中 查看是否有记录,若ARP缓存中有记录,则直 接使用,若没有记录,才发出ARP请求信息包 • ARP缓存可以加快地址解析的过程,避免过多 的ARP请求数据包 • ARP缓存中的记录有动态和静态两种记录
ARP欺骗原理
网关:192.168.1.1 MAC: 01-01-01-01-01-01
ARP缓存表 192.168.1.2 03-03-03-03-03-03 192.168.1.3 03-03-03-03-03-03
哪台主机感 染ARP病毒?
主机A:IP: 192.168.1.2 MAC: 02-02-02-02-02-02
ARP工具程序
• Windows系列操作系统提供arp.exe工具程序, 用以查看与编辑arp缓存的记录 • arp –a:查看arp缓存中目前的记录 • arp –d:删除arp缓存中所有记录 • arp –d [IP地址]:删除arp缓存中指定记录 • arp –s [IP地址] [MAC地址]:在arp缓存中添加一 条静态记录
失)
反向地址解析协议RARP
• 反向地址解析RARP可以由MAC地址解析出 相应的IP地址,主要用于无盘工作站在引导 时提供MAC地址到IP地址的映射
32位IP地址 ARP RARP
48位MAC地址
ARP数据包格式
以太网 以太网 帧 硬件 协议 硬件 发送端 目标端 目标端 协议 操作 发送端 目标地址 源地址 类型 类型 类型 地址长度 地址长度 类型 以太网地址 IP地址 以太网地址 IP地址
ARP数据包格式
以太网 以太网 帧 硬件 协议 硬件 发送端 目标端 目标端 协议 操作 发送端 目标地址 源地址 类型 类型 类型 地址长度 地址长度 类型 以太网地址 IP地址 以太网地址 IP地址
以太网首部
ARP/RARP数据
• 操作类型:ARP/RARP的请求和应答帧都采用同一种 帧格式,此字段表示ARP/RARP帧的类型,1:ARP请 求;2:ARP应答;3:RARP请求;4:RARP应答 • 发送端以太网地址:即发送端的MAC地址 • 发送端IP地址:如果此帧为ARP请求帧(操作类型为1), 发出请求的主机在请求对方的MAC地址时,同时告 知对方自己的IP地址 • 目标端MAC地址:ARP请求包中此字段为空 • 目标端IP地址:ARP请求需要转换的IP地址
ARP运作方式
• ARP请求:A发出ARP请求包广播到网段上所有计算机 (以太网广播包的目标MAC地址:FF-FF-FF-FF-FF-FF),
该网段上的每一台计算机都会收到这一信息包 • ARP请求信息包中除包括要解析对象(B主机)的IP地
址外,还会包含A主机的IP地址和MAC地址
ARP请求 ARP 请求
ARP缓存
动态 静态 记录 ARP广播包完成每条IP/MAC地 记录 若已知某设备的 址解析后,会将结果存储在ARP缓 IP/MAC地址对应关 存中,下次使用时不必再发送广 系,可通过手动方 播包,而直接从缓存中读取,这 式将该记录加入到 种由ARP自动产生的记录称为动态 ARP缓存中,称为静 记录。动态记录有一定的寿命时 态记录。 生命周期:不同操作系 间,超时就会被自动删除,以避 统有所不同(XP系统重 免出现网络黑洞。 生命周期:最近一次使用后2分钟, 启电脑会消失,Win7 系统重启电脑也不会消 重启电脑会自动清除
ARP运作方式
• 网络上设备的IP地址与MAC地址间的对应关系, 并未集中记录在某个数据库中,因此,ARP欲取 得某设备的MAC地址时,必须直接向该设备询 问 • ARP的整个运作过程由ARP请求和ARP应答两种 数据包组成 • 在一个网段中有A、B两台主机,A主机已经知道 B主机的IP地址,A要向B传送IP信息包时,此时 必须先利用ARP协议取得B主机的MAC地址
Biblioteka Baidu
ARP
• ARP是处于网络层的IP协议的辅助协议 • ARP:地址解析协议 Address Resolution Protocol • 网络层在传递信息包时,利用网络层地址 (如:IP地址)来识别目标设备 • 数据链路层在传递信息包时,利用数据链 路层地址(以太网中使用MAC地址)来识 别目标设备
ARP运作方式
• ARP应答:网段内所有主机都会收到此ARP请求 的广播信息包,并与自身的IP地址对比,确定自 己是否为要解析的对象,只有B主机是要解析的 对象,因此B主机发送ARP应答包,通知A主机自 己的MAC地址
ARP 应答
ARP 应答
ARP运作方式
• 因为B主机已经从ARP请求信息包得知A主机的 IP地址与MAC地址,ARP应答包就不必再使用广 播方式,可直接指定A主机的MAC地址为目标 地址 • 同时B主机将A主机的MAC地址存入ARP缓存, 以备将来使用 • A主机得到B主机的MAC地址后,把它作为以太 网数据帧的目标地址向B主机发送数据 • 同时A主机将刚刚得到的B主机的MAC地址存入 ARP缓存
跨网段的ARP解析
• 以太网广播包只能在同一网段内传送,路由器会 挡住以太网广播信息包,使之无法跨越到其他网 段,因此ARP只能解析同一网段内的MAC地址, 无法解析其他网段的MAC地址 • 若目标主机与源主机不在同一网段,中间需要经 过路由器时,就会出现多次ARP地址解析
A
ARP请求 ARP应答
以太网首部
ARP/RARP数据
• 以太网目标地址:MAC地址全1表示广播地址(FF-FFFF-FF-FF-FF) • 以太网源地址:发送主机的MAC地址 • 帧类型:以太网数据帧可以传送ARP/RARP数据包, 也可以传送IP数据包。帧类型指明后面数据的类型, ARP/RARP数据包的帧类型为0x0806 • 硬件类型:表示硬件地址的类型,1表示以太网地址 • 协议类型:表示要映射的协议地址的类型,其值为 0x0800时表示将硬件地址转换为IP地址
地址解析协议ARP
• IP地址是网络层的概念,IP数据包要在数据链 路层上传输,必须使用数据链路层地址,在以 太网上,数据链路层使用的是48位的MAC地址 • 网络层传递信息包给数据链路层时,必须先取 得目标设备的MAC地址 32位IP地址 • 在TCP/IP协议中使用地址解析 ARP 协议ARP来取得网络层地址 (IP地址)对应的数据链路层 48位MAC地址 地址(MAC地址)
ARP缓存表 192.168.1.1 01-01-01-01-01-01 192.168.1.2 02-02-02-02-02-02
ARP欺骗有两种
对路由器ARP表的欺骗
原理:截获网关数据 它通知路由器一系列错 误的内网MAC地址,并 按照一定的频率不断进 行,使真实的地址信息 无法通过更新保存在路 由器中,导致路由器的 所有数据包只能发送给 错误的MAC地址,造成 正常PC无法收到信息
ARP欺骗
• ARP地址解析协议是建立在网络中各个主机互
相信任的基础上的。 • 网络上的主机可以自主发送ARP应答消息,其 他主机收到应答报文时不会检测该报文的真实 性,就会将其记入本机ARP缓存。 • 由此攻击者就可以向某一主机发送伪ARP应答 报文,使其发送的信息无法到达预期的主机或
到达错误的主机,这就构成了ARP欺骗。
对本网段PC的网关欺骗
原理:伪造网关 它建立假网关,让被它 欺骗的PC向假网关发送 数据包,而不是通过正 常的路由器途径上网。 在PC看来,就是上不了 网了、掉线了
ARP病毒
• ARP病毒的行为方式一般就是“欺骗网关、欺 骗网内的所有主机”,其最终结果是: 在网关的ARP缓存表中,网内所有活动主机 的MAC地址均为中毒主机的MAC地址 网内所有主机的ARP缓存表中,网关的MAC 地址也成为中毒主机的MAC地址 • 前者保证了从网关到网内主机的数据包被发到 中毒主机,后者则使得主机发往网关的数据包 均发送到中毒主机。
伪造的ARP Reply包:192.168.1.1的 MAC地址是03-03-03-03-03-03
B主机感染了 ARP病毒!
主机B:IP: 192.168.1.3 MAC: 03-03-03-03-03-03
ARP缓存表 192.168.1.1 03-03-03-03-03-03 192.168.1.3 03-03-03-03-03-03
路 由 器
ARP请求
B
ARP应答
ARP缓存
• ARP请求是数据链路层的广播包,如果经常出 现,必然增加网络负担,为了避免这种情况, 加入了ARP缓存设计 • ARP缓存中记录了常用设备的IP/MAC地址 • 系统每次要解析MAC地址前,先在ARP缓存中 查看是否有记录,若ARP缓存中有记录,则直 接使用,若没有记录,才发出ARP请求信息包 • ARP缓存可以加快地址解析的过程,避免过多 的ARP请求数据包 • ARP缓存中的记录有动态和静态两种记录
ARP欺骗原理
网关:192.168.1.1 MAC: 01-01-01-01-01-01
ARP缓存表 192.168.1.2 03-03-03-03-03-03 192.168.1.3 03-03-03-03-03-03
哪台主机感 染ARP病毒?
主机A:IP: 192.168.1.2 MAC: 02-02-02-02-02-02
ARP工具程序
• Windows系列操作系统提供arp.exe工具程序, 用以查看与编辑arp缓存的记录 • arp –a:查看arp缓存中目前的记录 • arp –d:删除arp缓存中所有记录 • arp –d [IP地址]:删除arp缓存中指定记录 • arp –s [IP地址] [MAC地址]:在arp缓存中添加一 条静态记录
失)
反向地址解析协议RARP
• 反向地址解析RARP可以由MAC地址解析出 相应的IP地址,主要用于无盘工作站在引导 时提供MAC地址到IP地址的映射
32位IP地址 ARP RARP
48位MAC地址
ARP数据包格式
以太网 以太网 帧 硬件 协议 硬件 发送端 目标端 目标端 协议 操作 发送端 目标地址 源地址 类型 类型 类型 地址长度 地址长度 类型 以太网地址 IP地址 以太网地址 IP地址
ARP数据包格式
以太网 以太网 帧 硬件 协议 硬件 发送端 目标端 目标端 协议 操作 发送端 目标地址 源地址 类型 类型 类型 地址长度 地址长度 类型 以太网地址 IP地址 以太网地址 IP地址
以太网首部
ARP/RARP数据
• 操作类型:ARP/RARP的请求和应答帧都采用同一种 帧格式,此字段表示ARP/RARP帧的类型,1:ARP请 求;2:ARP应答;3:RARP请求;4:RARP应答 • 发送端以太网地址:即发送端的MAC地址 • 发送端IP地址:如果此帧为ARP请求帧(操作类型为1), 发出请求的主机在请求对方的MAC地址时,同时告 知对方自己的IP地址 • 目标端MAC地址:ARP请求包中此字段为空 • 目标端IP地址:ARP请求需要转换的IP地址
ARP运作方式
• ARP请求:A发出ARP请求包广播到网段上所有计算机 (以太网广播包的目标MAC地址:FF-FF-FF-FF-FF-FF),
该网段上的每一台计算机都会收到这一信息包 • ARP请求信息包中除包括要解析对象(B主机)的IP地
址外,还会包含A主机的IP地址和MAC地址
ARP请求 ARP 请求
ARP缓存
动态 静态 记录 ARP广播包完成每条IP/MAC地 记录 若已知某设备的 址解析后,会将结果存储在ARP缓 IP/MAC地址对应关 存中,下次使用时不必再发送广 系,可通过手动方 播包,而直接从缓存中读取,这 式将该记录加入到 种由ARP自动产生的记录称为动态 ARP缓存中,称为静 记录。动态记录有一定的寿命时 态记录。 生命周期:不同操作系 间,超时就会被自动删除,以避 统有所不同(XP系统重 免出现网络黑洞。 生命周期:最近一次使用后2分钟, 启电脑会消失,Win7 系统重启电脑也不会消 重启电脑会自动清除
ARP运作方式
• 网络上设备的IP地址与MAC地址间的对应关系, 并未集中记录在某个数据库中,因此,ARP欲取 得某设备的MAC地址时,必须直接向该设备询 问 • ARP的整个运作过程由ARP请求和ARP应答两种 数据包组成 • 在一个网段中有A、B两台主机,A主机已经知道 B主机的IP地址,A要向B传送IP信息包时,此时 必须先利用ARP协议取得B主机的MAC地址