arp欺骗超详细过程
arp协议欺骗原理
arp协议欺骗原理宝子们!今天咱们来唠唠那个有点小“坏坏”的ARP协议欺骗是咋回事儿。
咱先得知道啥是ARP协议呀。
你就把网络想象成一个超级大的社区,每个设备呢就像社区里的住户。
ARP协议就像是社区里的小喇叭,专门用来广播“我是谁,我住哪儿(我的IP地址对应的MAC地址是啥)”。
正常情况下,这个小喇叭可有用啦,它能让设备之间顺利地找到对方,然后愉快地聊天(传输数据)呢。
那ARP协议欺骗是怎么搞事情的呢?这就好比社区里突然来了个捣蛋鬼。
这个捣蛋鬼呢,会伪装成别人。
比如说,设备A想要找设备B聊天,本来是通过正常的ARP 广播知道设备B的MAC地址的。
但是这个捣蛋鬼(我们叫它恶意设备C吧)就偷偷地跟设备A说:“嗨,我就是设备B,我的MAC地址是这个哦。
”设备A呢,就这么傻乎乎地相信了,然后就把本来要发给设备B的数据发给了这个假冒的设备C。
这就像是你本来要给你的好朋友送个小礼物,结果有个坏蛋骗你说他就是你的好朋友,然后你就把礼物给了坏蛋,多气人呀!为啥这个恶意设备C能这么容易骗到设备A呢?这是因为ARP协议在设计的时候呢,比较信任网络里的消息来源。
就像咱们社区里大家都很单纯,听到有人喊自己的名字就以为是真的朋友呢。
而且呢,这个欺骗过程可快啦,设备A都来不及反应就被忽悠了。
再说说这个恶意设备C拿到数据之后会干啥。
它可能会偷偷地看这些数据,就像偷看别人的信件一样,这可涉及到隐私问题啦。
如果数据里有什么账号密码之类的敏感信息,那可就糟糕透顶了。
还有更坏的呢,它可能会修改数据再转发出去,就像在信件里乱改一通再寄给别人,这会让设备B收到错误的信息,整个网络通信就乱套了。
那我们怎么防范这个ARP协议欺骗呢?这就像是要给我们的社区加个保安一样。
一种方法是使用静态ARP表项。
就是我们直接告诉设备A,设备B的MAC地址是啥,而且这个信息不会被轻易改变,这样恶意设备C就没那么容易骗到设备A了。
还有呢,可以使用一些网络安全设备,像防火墙之类的。
ARP欺骗(完全版)
ARP欺骗(完全版)在讲ARP欺骗之前先讲讲什么是ARP以及ARP欺骗的原理吧。
⼀、什么是ARP?arp英⽂全称: address resolution protocol 中⽂:地址解析协议它的作⽤:是根据IP地址获取获取物理地址的⼀个TCP/IP协议。
主机发送信息的时候将⼀个包涵⽬标主机的IP地址的ARP请求通过⼴播到⽹络上所有的主机,并且接受返回信息,以此来确定⽬标的物理地址。
收到返回消息后讲该IP和物理地址存在本机ARP缓存中(这个属于动态ARP)兵保留⼀定的时间。
下次请求时就可以直接查询ARP缓存以节约资源。
⼆、 ARP欺骗原理⼤家通过知道arp的原理之后就应该知道arp的缺陷了。
当arp通过⼴播的形式的时候,虽然主机默认的是:与⾃⼰的ip不匹配的就视为丢弃,但是我们可以通过⼿动的⽅式来跟靶机讲我就是⽹关或者其它主机,从⽽就达到了欺骗⽬的。
实验环境:1.虚拟机kali IP:192.168.1.2 MAC:00:0C:29:E4:5C:D2 (攻击机)2.虚拟机win7 IP:192.168.1.3 MAC:00-0C-29-CA-29-88(靶机:被攻击机)3.宿主机win7 IP:192.168.1.1 MAC:0A-00-27-00-00-18(服务器DVWA) 例如:虚拟机win7想访问宿主机的服务器,那么必须知道宿主机的MAC地址,但⼜因为arp缓存⾥⾯没有宿主机的MAC地址,所以就必须以⼴播的形式来跟宿主机进⾏连接。
然后它就会讲:请问谁的IP 是192.168.1.1,请把你的MAC给我。
宿主机看见⼴播的地址和⾃⼰的地址相同,所以就会回复靶机讲它是,并且把Mac地址发给它,从⽽就建⽴了连接。
但是如果kali想攻击它,kali就会在靶机⼴播的时候也会⼀直⼴播发送消息讲它是192.168.1.1,并把MAC发给它,所以靶机就以为它是服务器从⽽就会上传⼀些敏感⽂件给它。
从⽽就达到了欺骗。
arp欺骗的原理详细讲解
arp欺骗的原理详细讲解(整理修改自网络)2010-04-20 16:55arp欺骗的原理其实就是使电脑无法找到网关的MAC 地址。
首先我们要了解什么是ARP,ARP (Address Resolution Protoco)l 是地址解析协议,是一种将IP 地址转化成物理地址的协议。
从IP 地址到物理地址的映射有两种方式:表格方式和非表格方式。
ARP 具体说来就是将网络层(IP 层,也就是相当于OSI的第三层)地址解析为数据链路层(MAC 层,也就是相当于OSI的第二层)的MAC 地址。
ARP原理:某机器A 要向主机B 发送报文,会查询本地的ARP 缓存表,找到B 的IP 地址对应的MAC 地址后,就会进行数据传输。
如果未找到,则广播A 一个ARP 请求报文(携带主机A的IP地址Ia——物理地址Pa),请求IP地址为Ib的主机B回答物理地址Pb。
网上所有主机包括B都收到ARP 请求,但只有主机B 识别自己的IP 地址,于是向A 主机发回一个ARP 响应报文。
其中就包含有B 的MAC 地址,A 接收到B的应答后,就会更新本地的ARP缓存。
接着使用这个MAC 地址发送数据(由网卡附加MAC 地址)。
因此,本地高速缓存的这个ARP 表是本地网络流通的基础,而且这个缓存是动态的。
ARP协议并不只在发送了ARP 请求才接收ARP应答。
当计算机接收到ARP应答数据包的时候,就会对本地的ARP 缓存进行更新,将应答中的IP 和MAC 地址存储在ARP 缓存中。
因此,当局域网中的某台机器B 向A 发送一个自己伪造的ARP 应答,而如果这个应答是B 冒充C伪造来的,即IP地址为C的IP,而MAC 地址是伪造的,则当A接收到B伪造的ARP 应答后,就会更新本地的ARP缓存,这样在A看来C的IP地址没有变,而它的MAC 地址已经不是原来那个了。
由于局域网的网络流通不是根据IP 地址进行,而是按照MAC 地址进行传输。
arp欺骗原理及过程
arp欺骗原理及过程ARP欺骗原理及过程ARP(Address Resolution Protocol)是一种用于将IP地址映射到MAC地址的协议。
在局域网中,每个设备都有一个唯一的MAC地址,而IP地址则由路由器分配。
当一个设备需要与另一个设备通信时,它需要知道目标设备的MAC地址才能发送数据包。
这时候就需要使用ARP协议来获取目标设备的MAC地址。
ARP欺骗是一种网络攻击方式,攻击者利用ARP协议的工作原理伪造网络中某个设备的MAC地址,使得其他设备将数据包发送到攻击者指定的目标设备上,从而实现窃取信息、中间人攻击等恶意行为。
1. ARP协议工作原理在局域网中,每个设备都有一个唯一的IP地址和MAC地址。
当一个设备需要与另一个设备通信时,它首先会查询本地缓存中是否已经记录了目标IP地址对应的MAC地址。
如果没有找到,则会发送一个ARP请求广播包到整个网络中。
ARP请求广播包包含以下信息:- 源IP地址:发出请求广播包的设备IP地址- 源MAC地址:发出请求广播包的设备MAC地址- 目标IP地址:要查询MAC地址对应的目标IP地址- 目标MAC地址:广播包中填充0当其他设备收到ARP请求广播包时,会检查其中的目标IP地址是否与自己的IP地址匹配。
如果匹配,则会向请求广播包的设备发送一个ARP响应包,其中包含自己的MAC地址。
ARP响应包包含以下信息:- 源IP地址:响应广播包的设备IP地址- 源MAC地址:响应广播包的设备MAC地址- 目标IP地址:发出请求广播包的设备IP地址- 目标MAC地址:发出请求广播包的设备MAC地址当发出请求广播包的设备收到ARP响应包时,就可以将目标IP地址对应的MAC地址记录在本地缓存中,并开始与目标设备进行通信。
2. ARP欺骗原理在局域网中,每个设备都可以发送ARP请求和ARP响应。
攻击者可以利用这一点发送伪造的ARP响应数据包,欺骗其他设备将数据发送到攻击者指定的目标设备上。
arp欺骗攻击的原理
arp欺骗攻击的原理ARP欺骗攻击的原理ARP(Address Resolution Protocol)是一种用于将IP地址转换为MAC地址的协议。
在网络通信中,每个主机都有一个唯一的MAC地址和IP地址,主机之间通过MAC地址进行通信。
而ARP协议就是用来获取目标主机的MAC地址的。
ARP欺骗攻击就是指攻击者通过伪造ARP响应包,向网络中的其他主机发送虚假信息,从而使得攻击者可以截获网络数据包并进行监听、篡改等恶意行为。
下面将详细介绍ARP欺骗攻击的原理。
第一部分: ARP协议基础知识1. ARP协议工作原理当一个主机需要向另一个主机发送数据时,首先需要知道目标主机的MAC地址,这时候就会使用ARP协议来获取目标主机的MAC地址。
具体流程如下:1) 主机A发送一个ARP请求包,在请求包中包含了目标IP地址;2) 网络中所有其他主机都会接收到这个请求包;3) 目标主机B收到该请求包后,会向A发送一个ARP响应包,在响应包中携带自己的MAC地址;4) 主机A收到响应包后,就可以知道目标B的MAC地址了,并将此信息保存在本地ARP缓存中。
这样,当主机A需要向主机B发送数据时,就可以直接使用目标B的MAC地址进行通信了。
2. ARP欺骗攻击原理ARP欺骗攻击者通过伪造ARP响应包,向网络中的其他主机发送虚假信息,从而使得攻击者可以截获网络数据包并进行监听、篡改等恶意行为。
具体步骤如下:1) 攻击者首先要获取目标主机的IP地址和MAC地址;2) 攻击者伪造一个ARP响应包,将自己的MAC地址伪装成目标主机的MAC地址,并将自己的IP地址与目标主机的IP地址对应;3) 网络中其他主机收到该ARP响应包后,会将攻击者的MAC地址保存在本地ARP缓存中,并将其作为目标主机的MAC地址进行通信;4) 攻击者就可以截获网络数据包,并进行监听、篡改等恶意行为。
第二部分: ARP欺骗攻击实例分析下面以实例来分析一下ARP欺骗攻击是如何实现的。
arp欺骗原理
arp欺骗原理ARP欺骗原理是一种网络攻击手段,通常被用于窃取网络通信数据或进行中间人攻击。
ARP是以太网中一个重要的协议,它负责将IP地址映射成MAC地址,以保证数据能够正确送达目标设备。
而ARP欺骗攻击便是通过伪造网络中的ARP协议,来让其他设备误认为攻击者的MAC地址就是目标设备的MAC地址,从而将网络数据发送给攻击者,并造成信息泄露或进一步的攻击。
ARP协议是一个非常简单的协议,它的工作原理十分直观:当主机A需要通过以太网发送数据给B时,它会先发送一个ARP广播包,以请求网络中的所有设备帮助自己查找B的MAC地址。
路由器或者其他设备会通过ARP响应包来回应主机A,告诉它该数据包需要发送到哪个MAC地址上去。
一旦主机A得到了B的MAC地址,它便会以此目标地址为准,将数据包发送出去。
而ARP欺骗的原理则是,攻击者伪造一个ARP响应包,将其中的目标MAC地址改为了自己的MAC地址,然后广播出去,欺骗其他设备将数据发往攻击者的主机上。
具体而言,ARP欺骗的攻击流程如下:1.攻击者获取目标主机的IP地址以及MAC地址。
2.攻击者向所有设备发送ARP欺骗包,告诉它们该目标主机的MAC 地址已经改变。
3.网路中的其他设备会根据攻击者发送的ARP欺骗包中的信息,将所有目标设备的数据发送给攻击者的主机上。
4.攻击者在接收到数据后,可以选择把它们再发给真正的目标设备,或者篡改其中的数据。
ARP欺骗攻击是非常危险的,其危害主要表现在如下几个方面:1.窃取敏感数据。
攻击者可以通过修改数据包,获取目标主机上的敏感信息,如HTTP cookies、账号密码等。
2.拒绝服务攻击。
攻击者可以利用ARP欺骗来对网络进行DDoS攻击,使其无法正常运行。
3.中间人攻击。
攻击者可以使用ARP欺骗攻击来混淆网络中的通信路径,使得目标设备与服务器通信时需要通过攻击者中转,使得攻击者得到了通信内容的复制品。
4.更高级的攻击手段。
ARP欺骗是许多网络攻击的基础,攻击者可以借此来进行更高级别的攻击,如DNS劫持、网银钓鱼等。
arp欺骗的工作原理
arp欺骗的工作原理ARP欺骗(ARP spoofing)是指攻击者利用ARP协议的缺陷,发送伪造的ARP响应包来篡改网络中的ARP缓存,从而欺骗目标主机将其发送给目标主机的数据发送到攻击者指定的主机上。
工作原理如下:1. 攻击者首先探测网络中的主机,获取目标主机的IP地址。
2. 攻击者发送伪造的ARP响应包,以欺骗目标主机。
这个ARP响应包中包含攻击者主机的MAC地址,并将目标主机的IP地址指向攻击者主机的MAC地址。
这样,目标主机在发送数据时会将数据发往攻击者主机,而不是真正的目标主机。
3. 目标主机接收到伪造的ARP响应包后,更新其ARP缓存中的目标主机的MAC地址为攻击者主机的MAC地址。
这使得目标主机错误地将其发往目标主机的数据发送给了攻击者主机。
4. 攻击者可以选择将接收到的数据进行处理后再发送给真正的目标主机,或者干扰、截获、篡改这些数据。
通过这种方式,攻击者可以窃取目标主机的敏感信息,例如登录凭证、账户密码等。
此外,攻击者还可以中间人攻击,欺骗目标主机以为其与另一个合法主机进行通信,从而进行更多的攻击。
为了防止ARP欺骗攻击,可以采取以下措施:1. 使用静态ARP表:管理员可以手动将IP地址与MAC地址的映射关系添加到静态ARP表中,限制ARP缓存被篡改的可能性。
2. ARP监控:网络监控工具可以检测异常的ARP请求和响应包,及时发现ARP欺骗攻击的行为。
3. 网络隔离:在网络中采用隔离措施,限制攻击者接触到目标主机,减少攻击者进行ARP欺骗的机会。
4. 密钥交换协议:使用安全的密钥交换协议确保通信的机密性,这样即使攻击者成功获取数据包,也无法破解密文。
综上所述,ARP欺骗攻击利用ARP协议的漏洞来干扰网络通信,但采取适当的安全措施可以有效减少这类攻击的风险。
arp欺骗原理
arp欺骗原理ARP欺骗原理是一种利用ARP(地址解析协议)的漏洞,对局域网内的设备进行网络攻击的方法。
ARP协议是用于将IP地址转换为物理MAC地址的协议。
一般情况下,设备在进行网络通信时会先发送一个ARP请求,询问特定IP地址的设备的MAC地址。
然后接收到该请求的设备会返回一个包含自己MAC地址的ARP响应。
这样,源设备就可以将目标设备的IP与MAC地址关联起来,从而建立通信。
ARP欺骗利用的是ARP协议没有验证对方身份的漏洞。
攻击者可以通过伪造ARP请求或响应,将自己的MAC地址伪装成目标设备的MAC地址,以欺骗其他设备。
具体来说,下面是ARP欺骗的过程:1. 攻击者向局域网内发送ARP请求,询问目标设备的MAC地址。
2. 正常情况下,目标设备会回复一个包含自己MAC地址的ARP响应给攻击者。
3. 攻击者接收到ARP响应后,将自己的MAC地址伪装成目标设备的MAC地址,并不断发送伪造的ARP响应给其他设备。
4. 其他设备在接收到伪造的ARP响应后,会更新自己的ARP缓存表,将目标设备的IP地址与攻击者的MAC地址关联起来。
5. 当其他设备要与目标设备进行通信时,会将数据发送给攻击者的MAC地址,而攻击者则可以选择拦截、篡改、窃取这些数据。
通过ARP欺骗,攻击者可以获取其他设备的通信数据,进行拦截、篡改甚至窃取敏感信息。
此外,攻击者也可以通过将自己的MAC地址伪装成路由器的地址,实施中间人攻击,劫持网络通信。
为了防止ARP欺骗,可以采取以下措施:1. 搭建虚拟局域网(VLAN)进行隔离,限制ARP欺骗的范围。
2. 使用静态ARP表,手动添加设备的MAC地址与对应IP地址的映射,避免受到伪造的ARP响应的影响。
3. 定期清除ARP缓存表,更新设备的MAC地址。
4. 在网络中使用密钥认证机制,如802.1X,限制未授权设备的接入。
5. 使用加密的通信协议,确保数据在传输过程中的安全性。
以上是ARP欺骗的原理和防范措施的简要介绍,这种攻击方法在实际中仍然存在,并需要网络管理员和用户采取一系列的措施来保护网络安全。
arp双向欺骗原理
arp双向欺骗原理ARP双向欺骗原理一、引言ARP(Address Resolution Protocol)是一种用于将IP地址映射到物理MAC地址的协议,它在局域网内起到重要的作用。
然而,由于ARP协议的设计缺陷,攻击者可以利用ARP欺骗技术进行攻击,其中双向欺骗是一种常见的攻击手段。
本文将详细介绍ARP双向欺骗原理及其工作过程。
二、ARP协议简介在理解ARP双向欺骗原理之前,我们需要先了解一下ARP协议的基本原理。
ARP协议是一种解决局域网内部主机与主机之间的IP地址到MAC地址映射问题的协议。
当主机A需要与主机B通信时,它会首先在本地ARP缓存中查找目标IP地址对应的MAC地址,如果找到则直接发送数据包,如果没有找到,则会发送一个ARP请求广播,询问网络中是否有主机知道目标IP地址对应的MAC地址。
其他主机收到ARP请求后,如果目标IP地址与自己相符,则会向主机A发送ARP应答,告诉它自己的MAC地址。
三、ARP双向欺骗原理ARP双向欺骗是指攻击者通过伪造ARP请求和ARP应答数据包,欺骗目标主机A和主机B,使它们相信攻击者的MAC地址就是对方的MAC地址,从而实现攻击者与目标主机之间的中间人攻击。
下面将详细介绍ARP双向欺骗的原理及其工作过程。
1. 攻击准备阶段攻击者首先需要在局域网中部署一个恶意主机,该主机需要具备发送ARP请求和应答的能力,并且能够监听局域网中的ARP流量。
攻击者还需要获取目标主机A和主机B的IP地址和MAC地址,可以通过网络嗅探等手段进行获取。
2. 欺骗主机A攻击者向局域网中发送一个ARP请求数据包,其中源IP地址设置为目标主机B的IP地址,目标IP地址设置为目标主机A的IP地址。
此时,目标主机A会将攻击者的MAC地址与目标主机B的IP地址进行绑定,认为攻击者的MAC地址就是目标主机B的MAC地址。
3. 欺骗主机B攻击者向局域网中发送一个ARP应答数据包,其中源IP地址设置为目标主机A的IP地址,目标IP地址设置为目标主机B的IP地址。
高手教你辨别ARP欺骗原理及防范被骗
高手教你辨别ARP欺骗原理及防范被骗经常听到身边的朋友说,自己电脑的网络又被啥啥攻击了,经常有一些不道德的人用ARP欺骗软件攻击别人,让很多人掉线,甚至让整个网络都瘫痪。
针对这个问题,我们首先先来了解下它的攻击原理及欺骗原理,深受其害的朋友们赶紧来看看。
一,ARP欺骗的原理如下:假设这样一个网络,一个Hub接了3台机器HostA HostB HostC 其中A的地址为:IP:192.168.10.1 MAC: AA-AA-AA-AA-AA-AAB的地址为:IP:192.168.10.2 MAC: BB-BB-BB-BB-BB-BBC的地址为:IP:192.168.10.3 MAC: CC-CC-CC-CC-CC-CC正常情况下C:\arp -aInterface: 192.168.10.1 on Interface 0x1000003Internet Address Physical Address Type192.168.10.3 CC-CC-CC-CC-CC-CC dynamic现在假设HostB开始了罪恶的ARP欺骗:B向A发送一个自己伪造的ARP应答,而这个应答中的数据为发送方IP地址是192.168.10.3(C的IP地址),MAC地址是DD-DD-DD-DD-DD-DD(C的MAC地址本来应该是CC-CC-CC-CC-CC-CC,这里被伪造了)。
当A接收到B伪造的ARP应答,就会更新本地的ARP 缓存(A可不知道被伪造了)。
而且A不知道其实是从B发送过来的,A这里只有192.168.10.3(C的IP地址)和无效的DD-DD-DD-DD-DD-DD mac地址,没有和犯罪分子B相关的证据,哈哈,这样犯罪分子岂不乐死了。
现在A机器的ARP缓存更新了:C:\arp -aInterface: 192.168.10.1 on Interface 0x1000003Internet Address Physical Address Type192.168.10.3 DD-DD-DD-DD-DD-DD dynamic这可不是小事。
ARP欺骗程序
ARP欺骗程序简介ARP〔Address Resolution Protocol〕是一种在计算机网络中用于将IP地址解析为物理MAC地址的协议。
而ARP欺骗那么是一种攻击技术,通过伪造网络中的ARP响应报文,欺骗网关或其他主机,使其将通信的数据发送给攻击者。
本文将介绍如何实现一个简单的ARP欺骗程序,并提供例如代码。
实现原理ARP欺骗的实现原理比拟简单,主要分为以下几个步骤:1.监听网络数据包:程序需要监听本地网络接口,抓取并分析网络数据包,以获取其他主机的IP和MAC地址信息。
2.欺骗目标主机:程序需要定期发送伪造的ARP响应报文,将攻击者的MAC地址伪装成目标主机的MAC地址,使其他主机将通信数据发送给攻击者。
3.欺骗网关:与欺骗目标主机类似,程序还需要将攻击者的MAC地址伪装成网关的MAC地址,以获取网络通信的数据。
实现步骤本文主要以Python语言为例,介绍如何通过Scapy库实现一个简单的ARP欺骗程序。
1.安装Scapy库:在命令行中执行以下命令,安装Scapy库。
pip install scapy2.编写程序代码:创立一个Python文件,例如arp_spoof.py,编写以下代码。
```python from scapy.all import *def arp_spoof(target_ip, target_mac, gateway_ip, gateway_mac): # 发送ARP响应给目标主机,伪造目标主机的MAC地址 spoof_target = ARP(op=2, psrc=gateway_ip, pdst=target_ip, hwdst=target_mac)send(spoof_target, verbose=False)# 发送ARP响应给网关,伪造网关的MAC地址spoof_gateway = ARP(op=2, psrc=target_ip,pdst=gateway_ip, hwdst=gateway_mac)send(spoof_gateway, verbose=False)def main(): target_ip = input(。
描述arp欺骗的原理及过程 -回复
描述arp欺骗的原理及过程-回复ARP欺骗(Address Resolution Protocol spoofing)是一种网络攻击技术,攻击者通过伪造或欺骗目标网络设备的ARP信息,实现对通信进行窃听、篡改和伪装等恶意操作。
本文将详细介绍ARP欺骗的原理及过程。
一、ARP协议的基本原理在深入了解ARP欺骗之前,我们先来了解一下ARP协议的基本原理。
ARP (地址解析协议)是一种用于解析IP地址与MAC地址之间关系的协议。
在TCP/IP网络中,数据在发送时使用的是IP地址,而以太网(Ethernet)则使用MAC地址进行寻址。
ARP协议的作用就是通过查询网络上的其他设备,获取指定IP地址对应的MAC地址,从而实现数据包的转发。
ARP协议的工作方式如下:1. 当源主机要发送数据包给目标主机时,首先检查本地的ARP缓存表(ARP cache),看目标主机的MAC地址是否已经缓存。
2. 如果ARP缓存表中不存在目标主机的MAC地址,源主机会发送一个ARP请求广播,询问其他主机谁知道目标主机的MAC地址。
3. 目标主机收到ARP请求后,会发送一个ARP响应,包含自己的MAC 地址。
4. 源主机收到ARP响应后,将目标主机的IP地址和对应的MAC地址存入ARP缓存表,并将数据包发送给目标主机。
二、ARP欺骗原理ARP欺骗就是攻击者利用ARP协议的工作原理,欺骗目标主机获取其MAC地址,从而干扰或中断正常的通信。
实现ARP欺骗的关键是通过伪造ARP响应,将攻击者自己的MAC地址告诉目标主机,使其将数据包发送给攻击者。
这样,攻击者就可以窃听、篡改或伪装网络通信。
ARP欺骗的主要类型包括:1. ARP请求响应欺骗:攻击者伪造一个含有目标主机IP地址和另一个MAC地址的ARP响应,发送给本地网络中的其他主机,使其错误地认为目标主机的MAC地址是伪造的MAC地址。
这样,其他主机发送的数据包将会被错误地发送给攻击者。
ARP工作过程、ARP欺骗的原理和现象、如何防范ARP欺骗
ARP⼯作过程、ARP欺骗的原理和现象、如何防范ARP欺骗 地址解析协议(Address Resolution Protocol,ARP)是在仅知道主机的IP地址时确定其物理地址的⼀种协议。
下⾯假设在⼀个局域⽹内,主机A要向主机B发送IP数据报。
ARP协议⼯作过程1. A先在其ARP⾼速缓存中查看有⽆B的IP地址。
如有,就在ARP⾼速缓存中查出其对应的硬件地址,再把这个硬件地址写⼊MAC帧,然后通过局域⽹把该MAC帧发往此硬件地址。
如果查不到B的IP的项⽬,则进⼊第(2)步。
2. A的ARP进程在本局域⽹上⼴播发送⼀个ARP请求分组,主要内容是A⾃⼰的IP地址、MAC地址,询问的IP地址(也就是B的IP地址)。
3. 在本局域⽹上的所有主机运⾏的ARP进程都收到此ARP请求分组。
4. 主机B的IP地址与ARP请求分组中要查询的IP地址⼀致,就收下这个ARP请求分组,并向A单播发送ARP响应分组(其中写⼊了B⾃⼰的硬件地址),同时将A的地址映射写⼊⾃⼰的ARP⾼速缓存中。
由于其余的所有主机IP地址都与ARP请求分组要查询的IP地址不⼀致,因此都不理睬这个ARP请求分组。
5. A收到B的ARP响应分组后,就在其ARP⾼速缓存中写⼊B的IP地址到硬件地址的映射。
⾄此,A得到了从B的IP地址到其MAC地址的映射。
当这个映射项⽬在⾼速缓存中保存超过⽣存时间,将被从⾼速缓存中删除。
ARP欺骗的原理与现象 ARP欺骗的核⼼思想就是向⽬标主机发送伪造的应 ARP答,并使⽬标主机接收应答中伪造的IP地址与MAC地址之间的映射对,以此更新⽬标主机ARP缓存。
下⾯就在理论上说明实施ARP欺骗的过程(见图: 1) S代表源主机,也就是将要被欺骗的⽬标主机; D代表⽬的主机,源主机本来是向它发送数据; A代表攻击者,进⾏ARP欺骗。
当S想要向D发送数据时,假设⽬前他的ARP缓存中没有关于D的记录,那么他⾸先在局域⽹中⼴播包含D的IP地址的ARP请求。
arp欺骗超详细过程
(一)ARP工作原理、ARP攻击分析叙述:随着网络设备在接入市场的应用也越来越多;同时遇到的问题也越来越多样,其中最让人头疼的就是ARP 的问题。
众所周知,ARP的基本功能就是在以太网环境中,通过目标设备的IP地址,查询目标设备的MAC地址,以保证通信的顺利进行。
但由于ARP的广播、动态学习等特性注定了它不是一种安全的协议,所以在实际应用中,会由于各种各样的原因使ARP学习失败,从而影响网络的互通性,并进而影响用户的业务稳定运行。
由于ARP处于数据链路层,处于整个OSI开放式七层模型的倒数第二层,所以除了HUB等极少数的、几乎所有跟以太网接口有关的设备,都涉及到ARP处理的问题。
如果ARP问题处理不好,带来的影响也是非常巨大的。
在整个internet网络体系中,网络设备主要分为两类:一类就是安装有各种操作系统平台的PC、服务器等host;而另外一类就是负责网络互联的路由器、交换机、防火墙等数据通讯设备。
这些设备由于自身所处的网络位置的不同、安全稳定程度的不同、服务的不同,在ARP机制的处理上也不尽相同,当然本文不是要全面阐述ARP的原理和实现,只是希望能够说明并解决或规避在我们的应用环境中出现的问题――我们考虑的范围是Win2K/XP主机和路由器、交换机。
1 ARP基础知识一般的,正常的ARP过程只需ARP Request和ARP Response两个过程,简单的说就是一问一答,如下:这记录了局域网内一台IP为192.168.19.180的PC与网关设备(IP为192.168.1.6)之间的ARP交互,该PC发送请求之后,在0.000434秒之后,网关设备做出了回应,此时路由器就学习到了对方的ARP信息:如下:我们关注的是ARP的过程,而不是结果;来看一下ARP Request:从[Ethernet Header]可以看出,ARP请求的目标地址是全F,也就是广播地址;因为在请求之前,本PC 不知道对方的MAC地址,为了确保ARP Request能够让对方收到,以广播形式方式是很自然的选择。
ARP欺骗攻击详解
ARP欺骗攻击详解ARP(地址解析协议)是在仅知道主机的IP地址时确定其物理地址的⼀种协议。
因IPv4和以太⽹的⼴泛应⽤,其主要⽤作将IP 地址翻译为以太⽹的MAC地址,但其也能在ATM和FDDI IP⽹络中使⽤。
本⽂将为⼤家详细剖析ARP欺骗,它主要分为双向欺骗和单向欺骗。
⼀、ARP通讯协议过程由于局域⽹的⽹络流通不是根据IP地址进⾏,⽽是按照MAC地址进⾏传输、计算机是根据mac来识别⼀台机器。
区域⽹内A要向主机B发送报⽂,会查询本地的ARP缓存表,找到B的IP地址对应的MAC地址后,就会进⾏数据传输。
如果未找到,则A⼴播⼀个ARP请求报⽂(携带主机B的IP地址),⽹上所有主机包括B都收到ARP请求,但只有主机B识别⾃⼰的IP 地址,于是向A主机发回⼀个ARP响应报⽂。
其中就包含有B的MAC地址,A接收到B的应答后,就会更新本地的ARP缓存。
接着使⽤这个MAC地址发送数据(由⽹卡附加MAC地址)。
⼆、⼀次完整的ARP欺骗ARP 欺骗分为两种,⼀种是双向欺骗,⼀种是单向欺骗:1.单向欺骗A的地址为:IP:192.168.10.1 MAC: AA-AA-AA-AA-AA-AAB的地址为:IP:192.168.10.2 MAC: BB-BB-BB-BB-BB-BBC的地址为:IP:192.168.10.3 MAC: CC-CC-CC-CC-CC-CCA和C之间进⾏通讯.但是此时B向A发送⼀个⾃⼰伪造的ARP应答,⽽这个应答中的数据为发送⽅IP地址是192.168.10.3(C的IP地址),MAC地址是BB-BB-BB-BB-BB-BB(C的MAC地址本来应该是CC-CC-CC-CC-CC-CC,这⾥被伪造了)。
当A接收到B伪造的ARP应答,就会更新本地的ARP缓存(A被欺骗了),这时B就伪装成C了。
同时,B同样向C发送⼀个ARP应答,应答包中发送⽅IP地址四192.168.10.1(A的IP地址),MAC地址是BB-BB-BB-BB-BB-BB(A的MAC地址本来应该是AA-AA-AA-AA-AA-AA),当C收到B伪造的ARP应答,也会更新本地ARP缓存(C也被欺骗了),这时B就伪装成了A。
arp欺骗的工作原理
arp欺骗的工作原理
ARP欺骗(ARP spoofing)是一种网络攻击技术,通过伪装成
网络内的其他设备,向目标设备发送虚假的ARP(地址解析
协议)响应信息,从而实现数据包的劫持和欺骗。
其工作原理如下:
1. ARP协议:ARP协议用于将IP地址和MAC地址进行映射。
每当设备需要通过IP地址发送数据包时,它会向本地网络内
的其他设备广播一个ARP请求,请求中包含了目标IP地址。
目标设备收到请求后会回复一个ARP响应,其中包含了自己
的MAC地址。
2. 欺骗目标设备:攻击者通过欺骗目标设备,使其将其发送的数据包发送到攻击者控制的设备。
攻击者首先监听网络中的ARP请求,并将目标IP地址映射为自己的MAC地址。
然后,攻击者会向目标设备发送一个虚假的ARP响应,告诉目标设
备说攻击者的MAC地址是目标IP地址所对应的MAC地址。
3. 劫持通信流量:目标设备接收到虚假的ARP响应后,会将
其缓存起来,并将攻击者的MAC地址与目标IP地址关联起来。
当目标设备要发送数据包时,它会发送给攻击者的MAC
地址,而不是真正的目标设备的MAC地址。
攻击者接收到数
据包后,可以选择转发给目标设备或对数据包进行篡改。
4. 中间人攻击:ARP欺骗可以用于中间人攻击,攻击者可以
将自己置于目标设备与其他设备之间,窃取通信内容或篡改数据。
需要注意的是,ARP欺骗技术仅在本地网络中生效,跨子网或者在使用交换机的网络中很难实施。
此外,网络上可以使用一些防御措施来防止ARP欺骗攻击,如静态ARP缓存管理、ARP监控等。
ARP欺骗——精选推荐
ARP欺骗ARP欺骗ARP欺骗原理1. 局域⽹的⽹络流通不是根据IP地址进⾏,⽽是根据MAC地址进⾏传输。
2.在局域⽹中某机器A要向主机B发送报⽂,会查询本地的ARP缓存表,找到B的IP地址对应的MAC地址后,就会进⾏数据传输。
如果未找到,则A⼴播⼀个ARP请求报⽂(携带主机A的IP地址Ia——物理地址Pa),请求IP地址为Ib的主机B回答物理地址Pb。
⽹上所有主机包括B都收到ARP请求,但只有主机B识别⾃⼰的IP地址,于是向A主机发回⼀个ARP响应报⽂。
其中就包含有B的MAC地址,A 接收到B的应答后,就会更新本地的ARP缓存。
接着使⽤这个MAC地址发送数据(由⽹卡附加MAC地址)。
因此,本地⾼速缓存的这个ARP表是本地⽹络流通的基础,⽽且这个缓存是动态的。
ARP欺骗的实验过程在局域⽹中,A和B通信,A电脑中ARP缓存应该存储着B的MAC地址。
C这时过来捣乱,使得A电脑中ARP缓存中,B的ip地址却对应着C的MAC地址。
1.⾸先查看B的ip地址以及其MAC地址2.A使⽤ping命令pingB,查看A中的ARP缓存3.查看C⾃⼰的ip地址和MAC地址4.C使⽤netwox恶意发送B的ip地址在C⾃⼰的MAC地址上,netwox 80 -e MAC(C的MAC) -i ip(B的ip)5.查看A的ARP缓存这样就完成了⼀次简单的ARP欺骗。
TCP会话劫持TCP会话劫持的原理TCP会话劫持攻击,是劫持通信双⽅已建⽴的TCP会话连接,假冒其中⼀⽅的⾝份与另⼀⽅进⾏进⼀步通信。
通常⼀些⽹络服务会建⽴在TCP会话之后进⾏应⽤层的⾝份认证,客户端在通过⾝份认证之后,就可以通过TCP会话连接对服务器索取资源。
且期间不⽤再次进⾏⾝份认证。
⽽TCP会话劫持为攻击者提供了⼀种绕过应⽤层⾝份认证的技术途径,因此得到较⾼⽔平攻击者的青睐。
使⽤hunt进⾏会话劫持1.查看metasploit的ip2.win2K连接metasploittelnet 192.168.136.128 233.使⽤hunt进⾏会话劫持。
Arp欺骗的全过程
Arp欺骗的全过程1.首先看图:看到除了处理三层交换中的arp广播较多外,还有一个mac地址为00115bd3fe23的发包量也非常大,这很不正常。
我们选中这个mac地址然后点击Visual Filter后,会显示此地址的发包情况。
很清楚的发现00115bd3fe23向整个网段发送广播包,用来检测哪些ip地址开通。
嫌疑重大呀。
2.网段扫描(看图):有重大嫌疑的00115bd3fe23开始欺骗10.50.80.104 (00115bd400d3),先伪造一个ip(10.50.80.1网关)发送给10.50.80.104,这时被欺骗的10.50.80.104的arp缓存表中会加上一条【10.50.80.1 00115bd3fe23】3.欺骗过程(接下图):紧接着,00115bd3fe23又去欺骗网关这时三层交换中的mac地址表加上了【10.50.80.104 00115bd3fe23】这时00115bd3fe23就完成了欺骗了。
接下去看看10.50.80.104与外网沟通时,这个00115bd3fe23是怎么将包传送出去的:首先是10.50.80.104被欺骗后,认为网关10.50.80.1是00115bd3fe23这个地址,因此DLC Header 会显示Destination 是00115bd3fe23。
当包发送到了00115bd3fe23后再由00115bd3fe23转发到外网,可惜我这一步没有抓到(疑问?)再接下去:网关将数据传送到了上级路由,10.50.80.104的数据包最终被发送出去了。
最后我们来看看外网反馈回来的数据是怎么传递给00115bd3fe23,然后由它再传给10.50.80.104的:网关接受到了外网的数据,它查询mac -ip对应表,查询到10.50.80.104 与00115bd3fe23 是相对应的,因此先将数据发送到00115bd3fe23.最后由00115bd3fe23将数据包转发给了00115bd400d3(10.50.80.104)至此整个的ARP的欺骗过程就完成了。
网络地址欺骗详解
地址欺骗(一)ARP欺骗1.ARP欺骗原理ARP原理某机器A要向主机C发送报文,会查询本地的ARP缓存表,找到C的IP 地址对应的MAC地址后,就会进行数据传输。
如果未找到,则广播一个ARP请求报文(携带主机A的IP地址Ia——物理地址AA:AA:AA:AA),请求IP地址为Ic的主机C回答物理地址Pc。
网上所有主机包括C都收到ARP请求,但只有主机C识别自己的IP地址,于是向A主机发回一个ARP响应报文。
其中就包含有C的MAC地址CC:CC:CC:CC,A 接收到C的应答后,就会更新本地的ARP缓存。
接着使用这个MAC地址发送数据(由网卡附加MAC地址)。
因此,本地高速缓存的这个ARP表是本地网络流通的基础,而这个缓存是动态的。
ARP协议并不只在发送了ARP请求才接收ARP应答。
当计算机接收到ARP应答数据包的时候,就会对本地的ARP缓存进行更新,将应答中的IP和MAC地址存储在ARP缓存中。
因此,局域网中的机器B首先攻击C使C瘫痪,然后向A发送一个自己伪造的ARP 应答,而如果这个应答是B冒充C伪造来的,即IP地址为C的IP,而MAC地址是B的,则当A接收到B伪造的ARP应答后,就会更新本地的ARP缓存,这样在A看来C的IP 地址没有变,而它的MAC地址已经变成B的了。
由于局域网的网络流通不是根据IP地址进行,而是按照MAC地址进行传输。
如此就造成A传送给C的数据实际上是传送到B.这就是一个简单的ARP欺骗,如图所示。
2.ARP欺骗的防范措施a)在winxp下输入命令arp-sgate-way-jpgate-way-mac固化arp表,阻止arp欺骗。
b)使用ARP服务器。
通过该服务器查找自己的ARP转换表来响应其他机器的ARP厂播。
确保这台ARP服务器不被黑。
c)采用双向绑定的方法解决并且防止ARP欺骗。
d)ARP防护软件——ARPGuard。
通过系统底层核心驱动,无须安装其他任何第三方软件(如WinPcap),以服务及进程并存的形式随系统启动并运行,不占用计算机系统资源。
arp欺骗的工作原理
arp欺骗的工作原理ARP欺骗(Address Resolution Protocol Spoofing)是指攻击者通过发送虚假的ARP应答消息来伪装自己的身份,欺骗网络中的其他设备,使它们将网络流量发送至攻击者指定的目标地址。
这种攻击方式常用于网络钓鱼、中间人攻击等恶意行为。
其具体工作原理如下:1. ARP协议:ARP是一种协议,用于将IP地址映射到对应的物理硬件地址(MAC地址)。
在局域网中,当一个设备A需要和另一个设备B通信时,它首先会发送一个ARP请求广播,请求目标设备B的MAC地址。
设备B收到请求后,会发送一个ARP响应,用自己的MAC地址回复设备A。
设备A接收到该响应后,将会将目标设备B的IP地址和MAC地址存储在ARP缓存中,以便将来的通信使用。
2. 欺骗过程:攻击者为了进行ARP欺骗,首先需要在局域网中成为中间设备,并获取到其他设备的IP和MAC地址的对应关系。
3. 发送虚假ARP响应:攻击者发送一个欺骗性的ARP响应消息,其中包含了自己伪装的MAC地址和目标设备的IP地址。
这样,其他设备就会将目标设备通信的流量发往攻击者的计算机。
4. ARP缓存更新:目标设备在接收到虚假的ARP响应消息后,将会更新自己的ARP缓存,将攻击者的MAC地址与目标设备的IP地址关联起来。
5. 欺骗效果:随后,当其他设备想要和目标设备进行通信时,它们将会通过ARP缓存中的MAC地址发送数据包,却实际上将它们发送到了攻击者的计算机。
攻击者可以对这些数据包进行监视、修改、转发等操作,实现中间人攻击。
6. 欺骗延续:为了持续进行ARP欺骗,攻击者需要定期发送虚假的ARP响应消息,以保持其他设备的ARP缓存中的映射关系。
需要注意的是,正常情况下,网络设备会对接收到的ARP响应进行验证,以确保其合法性。
然而,如果攻击者能够成功地伪装成网络中的某个设备,并能够更快地响应ARP请求,那么其虚假的ARP响应可能会被其他设备误以为是合法的,从而导致ARP欺骗攻击成功。
- 1、下载文档前请自行甄别文档内容的完整性,平台不提供额外的编辑、内容补充、找答案等附加服务。
- 2、"仅部分预览"的文档,不可在线预览部分如存在完整性等问题,可反馈申请退款(可完整预览的文档不适用该条件!)。
- 3、如文档侵犯您的权益,请联系客服反馈,我们会尽快为您处理(人工客服工作时间:9:00-18:30)。
(一)ARP工作原理、ARP攻击分析叙述:随着网络设备在接入市场的应用也越来越多;同时遇到的问题也越来越多样,其中最让人头疼的就是ARP 的问题。
众所周知,ARP的基本功能就是在以太网环境中,通过目标设备的IP地址,查询目标设备的MAC地址,以保证通信的顺利进行。
但由于ARP的广播、动态学习等特性注定了它不是一种安全的协议,所以在实际应用中,会由于各种各样的原因使ARP学习失败,从而影响网络的互通性,并进而影响用户的业务稳定运行。
由于ARP处于数据链路层,处于整个OSI开放式七层模型的倒数第二层,所以除了HUB等极少数的、几乎所有跟以太网接口有关的设备,都涉及到ARP处理的问题。
如果ARP问题处理不好,带来的影响也是非常巨大的。
在整个internet网络体系中,网络设备主要分为两类:一类就是安装有各种操作系统平台的PC、服务器等host;而另外一类就是负责网络互联的路由器、交换机、防火墙等数据通讯设备。
这些设备由于自身所处的网络位置的不同、安全稳定程度的不同、服务的不同,在ARP机制的处理上也不尽相同,当然本文不是要全面阐述ARP的原理和实现,只是希望能够说明并解决或规避在我们的应用环境中出现的问题――我们考虑的范围是Win2K/XP主机和路由器、交换机。
1 ARP基础知识一般的,正常的ARP过程只需ARP Request和ARP Response两个过程,简单的说就是一问一答,如下:这记录了局域网内一台IP为192.168.19.180的PC与网关设备(IP为192.168.1.6)之间的ARP交互,该PC发送请求之后,在0.000434秒之后,网关设备做出了回应,此时路由器就学习到了对方的ARP信息:如下:我们关注的是ARP的过程,而不是结果;来看一下ARP Request:从[Ethernet Header]可以看出,ARP请求的目标地址是全F,也就是广播地址;因为在请求之前,本PC 不知道对方的MAC地址,为了确保ARP Request能够让对方收到,以广播形式方式是很自然的选择。
在[ARP]中可以看到,发送的源IP和源MAC都是本PC的网卡设置值,这是已知参数;目的IP地址是我要请求的地址,而目的MAC地址是全0,用于表示本PC不知道该参数,暂时忽略/ignore。
网关设备在收到ARP Request之后,会首先读取Sender的IP和MAC地址,并在存入自己的缓冲中,以备后用。
因为ARP请求毕竟是广播性质的,如果每次通讯都要完成一个ARP的流程,对于以太网的压力是非常巨大的,为了尽可能减少这种广播的负面影响,这里引入了缓冲机制,这就是ARP Table。
ARP Response又是怎样回应的呢?先看[Ethernet Header],可以看到以太网目的MAC地址为PC的MAC地址,因为网关设备只要把回应的信息发送给请求者即可,局域网内的其他主机是没有必要同步知道的,这很好理解。
在[ARP]中,网关设备把自己的MAC地址填充在ARP Response中,发送给原请求者。
当然收到ARP Response之后也会把这个ARP信息缓存下来,这样一个ARP的过程就完成了。
从中可以看出,无论是哪方先发起ARP Request,最终双方都会得到对方的MAC地址信息的。
这也是处于减少网络上不必要流量的考虑。
2 免费ARP整个ARP的体系里基本上就是由ARP Request和Response组成的,从上面的描述中,可以看出Request就是告知对方“我要什么”,而Response是回答“我是什么”。
但有些时候也会例外,他们虽然从形式上还是Request和Response的,但它们通常不会不是一问一答的,而是只有其中的一部分,所以通常被称为免费ARP或无为ARP(Gratuitous ARP)。
从作用而言,它们主要是可以分为两类:1、以ARP Request的形式发送广播,请求自己的MAC地址,目的是探测局域网中是否有跟自己IP地址相同的主机,也就是常说的IP冲突,如下:正常情况下,这样的报文是不会有回复的,如果有,则说明有冲突发生。
2、以ARP Response的形式发送广播,它通常只是为了把自己的ARP信息通告/更新给局域网全体,这种Response不需要别人请求,是自己主动发送的通告。
报文结构如下。
这两种ARP帧虽然都是广播发送的,但目的不同,从帧结构上来说,前者注重的是Target Internet Address,而后者注重的是Sender Hardware Address和Sender Inteernet Address。
RG NBR系列路由器就采用上述第二种方式来发布自己的免费ARP,来防止网内PC机被其它中毒机器恶意修改其ARP Cache中保存的网关正确MAC地址信息;3 触发ARP动作的事件当然,如果windows的应用需要通过IP与别的IP地址进行通讯,而且本机ARP Table中没有对方的相应cache时,就会触发ARP自动学习。
另外,通过实验观察,我们发现Wind2K/XP在设置/修改IP、网卡禁用/启用、网线拔插、系统重启的时候,都会连续发送三次免费ARP Request,目的显然是为了判断网络上是否存在IP地址冲突。
对于RG Routers和Layer 3 Switch来说,如果存在上层IP通讯,那么自然需要触发ARP学习过程,这一点跟windows是完全相同的。
在以太网端口设置/修改IP时,路由器、Layer3 Switch会自动发送免费ARP Request报文来探测是否有IP冲突;而在端口shut/no shut、端口线缆拔插、系统重启的时候,路由器又会自动发送免费ARP Response 报文,用以把自己的ARP信息通告全体主机。
同时,无论是那种免费ARP,路由器、Layer 3 Switch都只发送一次。
很显然,windows的ARP触发事件跟路由器、Layer 3 Switch是有差别的:1、Windows/PC作为网络上的一个主机,它可能只是跟少数的几个PC进行信息交互,所以它在非必要情况下不(通过免费ARP Response)把自己的ARP信息广播给所有主机是合理、也是明智的。
路由器、Layer 3 Switch虽然不直接参与应用层的处理,但它通常是一个局域网的网关,肩负则所有主机的数据转发任务,也就是说几乎所有的主机跟路由器、Layer 3 Switch之间都会存在ARP交互,与其被动的响应ARP请求,还不如主动的把自己的ARP信息广播给所有主机,这对于降低路由器、Layer 3 Switch的工作负荷、减少网络带宽占用都是有好处的。
2、从免费ARP报文的发送数量来看,Windows发送的免费ARP都是3次,这有利于确保对方成功收到,同时也有利于减少其他主机的免费ARP干扰;而RG路由器、Layer 3 Switch仅仅发送一次,而且任何情况都不再重复,这显然是不够的。
4 异常情况下的ARP处理机制常见的局域网异常状况有:IP地址冲突、MAC地址冒用、ARP欺骗等,极端情况下还可能IP+MAC同时冒用,下面我们就来具体分析。
4.1 IP地址冲突1、网关Router设置IP成某PC的地址有些时候,如用户网络使用windows做代理(NAT),现在要用一个路由器、Layer 3Switch(IP地址与网关windows相同)来替换当网关;当两者共存时,就会出现Windows IP地址与路由器、Layer 3 Switch 冲突的情况。
当然还有其他的可能性。
这里,如果路由器、Layer 3 Switch是调试完之后接入局域网的,按照前面的描述,RG路由器、Layer 3 Switch 直接发送1个免费ARP Response,这样就强制局域网内的PC学习到路由器、Layer 3 Switch SVI接口的ARP信息,此时原有Windows网关没有任何响应,工作也正常;但此时局域网内的PC关于网关IP的ARP内容却发生了改变,路由器、Layer 3 Switch的SVI接口成为了实际意义上的网关。
如果路由器、Layer 3 Switch是接入局域网之后才开始配置和调试的,那么路由器、Layer3 Switch SVI 接口设置IP之后会先发送1个免费ARP Request报文,探测有无地址冲突,如果有,则强制发送免费ARP Response;此时Windows主机提示地址冲突,网卡变为不可用状态,而路由器、Layer 3 Switch SVI接口则成为了实际的网关。
2、Windows设置IP成网关路由器、Layer 3 Switch SVI的IP地址在网吧、企业网环境中,上点后,路由器工作正常,局域网中的PC学习到的网关ARP信息就是路由器、Layer 3 Switch对应端口的IP和MAC;假设此时内网中有一个Windows PC修改自己的IP地址,不慎和网关IP 冲突,会发生什么呢?从这个抓包情况看,PC修改IP之后,发送免费ARP Request,看是否有地址冲突,这显然是有的,从第二个包就可以看出来,RG Router、Layer 3 Switch SVI回复了一个ARP Response;此时PC桌面上提示IP 地址冲突,网卡处于不正常工作状态,用户一般会修改IP地址再次尝试;而紧随其后的是,路由器、Layer 3 Switch发送了1个免费ARP Request包,用来判断冲突是否继续存在?当然由于Windows对于网卡的管理,导致冲突自动消失,路由器、Layer 3 Switch也就不再有后续动作了。
但如果此时冲突继续存在呢?从上面的实验来看,路由器、Layer 3 Switch会强制发送1次免费ARP Response,用以让局域网的主机确认,我才是真正的网关。
显然,应付普通的非恶意的IP地址冲突,路由器、Layer 3 Switch现行的机制应足够了。
4.2 MAC地址冒用不管是处于什么目的,用户可能通过某种手段重新烧录自己网卡的MAC地址,如果这个地址正好和路由器、Layer 3 Switch的网关IP相同,会出现什么情况呢?由于条件的限制,这个实验没有做成,但我们可以分析一下:根据前面的分析,网络设备是通过发送免费ARP Request报文,查询自己IP的对应MAC地址来确认是否存在冲突的,在单纯的MAC地址冒用的情况下,上述机制是探测不到任何异常的。
但是当两个设备的MAC地址相同时,最直接的影响就是局域网交换机(通常为二层)的MAC Table中,有两个端口学习到的MAC地址是完全相同的,这有点类似环路发生的现象;但这确实不是环路,因为交换机生成树的BPDU报文不可能从其中的一个端口发出,从另外一个端口收到,所以STP是探测不出什么的,也就是说这两个端口还是会正常工作的。