ARP欺骗攻击的实现与防范
合集下载
相关主题
- 1、下载文档前请自行甄别文档内容的完整性,平台不提供额外的编辑、内容补充、找答案等附加服务。
- 2、"仅部分预览"的文档,不可在线预览部分如存在完整性等问题,可反馈申请退款(可完整预览的文档不适用该条件!)。
- 3、如文档侵犯您的权益,请联系客服反馈,我们会尽快为您处理(人工客服工作时间:9:00-18:30)。
ARP欺骗攻击的实现与防范
ARP协议简介
• ARP,全称Address Resolution Protocol,中文名为地 址解析协议,它工作在数据链路层,在本层和硬件 接口联系,同时对上层提供服务。 • IP数据包常通过以太网发送,以太网设备并不识别 32位IP地址,它们是以48位以太网地址传输以太网 数据包。因此,必须把IP目的地址转换成以太网目 的地址。在以太网中,一个主机要和另一个主机进 行直接通信,必须要知道目标主机的MAC地址。但 这个目标MAC地址是如何获得的呢?它就是通过地 址解析协议获得的。ARP协议用于将网络中的IP地址 解析为的硬件地址(MAC地址),以保证通信的顺 利进行。
wk.baidu.com
ARP欺骗
• 为什么ARP容易被欺骗? • 局域网内主机数据包的传送完成不是依靠IP 地址,而是依靠ARP找到与IP地址对应的 MAC地址实现的。 • ARP欺骗的根本原因就是计算机维持一个 ARP告诉缓存表。ARP协议是不连接不可靠 的协议,ARP表随计算机不断发出请求和收 到相应而更新的,因此,ARP表中数据是不 会经过确认的,从而引起ARP欺骗攻击。
• • • • • •
内容: 建立基于交换机的网络环境; 用sniffer捕获网络上站点的信息; 用sniffer构造ARP响应包实施中间人欺骗 观察各主机的ARP变化情况; 用sniffer观察并分析欺骗的过程中各站的信 息流量;
• 注意事项: • 攻击主机发送ARP响应的频率不能小于主机 中ARP表的更新频率。 • 攻击主机扮演成网关时,注意观察攻击主 机所捕获到的信息,看能不能获得有价值 的信息; • 观察如何是网络中断?
ARP攻击防范
1 静态绑定
• 最常用的方法就是做 IP 和 MAC 静态绑定,在网内把主机 和网关都做 IP 和 MAC 绑定。 • 命令,arp -s 可以实现 “arp –s IP MAC 地址 ” 。 • 例如: “arp –s 192.168.10.1 AA-AA-AA-AA-AA-AA” 。 • 在 PC 上面通过执行 arp -a 可以看到相关的提示: • Internet Address Physical Address Type • 192.168.10.1 AA-AA-AA-AA-AA-AA static(静态)
• 注意:一般情况下,ARP 欺骗的某一方应该是网关。
– B 向 A 发送一个自己伪造的 ARP 应答,这个应答中的数据为发送方 IP 地 址是 192.168.10.3(C 的 IP 地址),MAC 地址是BB-BB-BB-BB-BB-BB(C 的 MAC 地址本来应该是 CC-CC-CC-CC-CC-CC,这里被伪造了)。当A 接收到 B 伪造的 ARP 应答,就会更新本地的 ARP 缓存(A 被欺骗了) ,这时 B 就 伪装成C了。 – 同时,B 同样向C 发送一个 ARP 应答,应答包中发送方 IP 地址四 192.168.10.1(A 的IP地址) , MAC地址是BB-BB-BB-BB-BB-BB (A的MAC 地址本来应该是AA-AA-AA-AA-AA-AA) ,当 C 收到 B 伪造的 ARP 应答,也 会更新本地 ARP 缓存(C 也被欺骗了),这时 B 就伪装成了 A。 – 这样主机 A 和C 都被主机 B 欺骗,A和C 之间通讯的数据都经过了 B。主机 B 完全可以知道他们之间说的什么:)。这就是典型的 ARP 欺骗过程。
ARP报头结构
• • • •
• • • • • • •
硬件类型字段指明了发送方想知道的硬件接口类型,以太网的值为1; 协议类型字段指明了发送方提供的高层协议类型,IP为0800(16进制); 硬件地址长度和协议长度指明了硬件地址和高层协议地址的长度,这样ARP报文就可以 在任意硬件和任意协议的网络中使用; 操作字段用来表示这个报文的类型,ARP请求为1,ARP响应为2,RARP请求为3,RARP 响应为4; 发送方的硬件地址(0-3字节):源主机硬件地址的前3个字节; 发送方的硬件地址(4-5字节):源主机硬件地址的后3个字节; 发送方IP(0-1字节):源主机硬件地址的前2个字节; 发送方IP(2-3字节):源主机硬件地址的后2个字节; 目的硬件地址(0-1字节):目的主机硬件地址的前2个字节; 目的硬件地址(2-5字节):目的主机硬件地址的后4个字节; 目的IP(0-3字节):目的主机的IP地址。
ARP攻击实施工具
• 网络嗅探器sniffer
– 捕获目的主机信息 – 构造欺骗数据包 – 发起主动攻击
• 嗅探器的原理
ARP攻击实施工具
• 使用sniffer构造数据包
ARP 中间人攻击的实现
• 问题: 假设一个网络环境中,网内有三台主机,分别为主机 A、B、C。 A 的地址为:IP:192.168.10.1 MAC: AA-AA-AA-AA-AA-AA B 的地址为:IP:192.168.10.2 MAC: BB-BB-BB-BB-BB-BB C 的地址为:IP:192.168.10.3 MAC: CC-CC-CC-CC-CC-CC 正常情况下 A 和C 之间进行通讯,现在B要监听A和C之间的会话。 • 实施过程如下:
ARP的工作原理
• 首先,每台主机都会在自己的ARP缓冲区 (ARP Cache)中建立一个 ARP 列表,以表示IP地址和MAC地址的对应关系。 • 当源主机需要将一个数据包要发送到目的主机时,会首先检查自己 ARP列表中是否存在该 IP地址对应的MAC地址,如果有﹐就直接将数 据包发送到这个MAC地址;如果没有,就向本地网段发起一个ARP请 求的广播包,查询此目的主机对应的MAC地址。此ARP请求数据包里 包括源主机的IP地址、硬件地址、以及目的主机的IP地址。 • 网络中所有的主机收到这个ARP请求后,会检查数据包中的目的IP是 否和自己的IP地址一致。如果不相同就忽略此数据包;如果相同,该 主机首先将发送端的MAC地址和IP地址添加到自己的ARP列表中,如 果ARP表中已经存在该IP的信息,则将其覆盖,然后给源主机发送一 个 ARP响应数据包,告诉对方自己是它需要查找的MAC地址; • 源主机收到这个ARP响应数据包后,将得到的目的主机的IP地址和 MAC地址添加到自己的ARP列表中,并利用此信息开始数据的传输。 如果源主机一直没有收到ARP响应数据包,表示ARP查询失败。
ARP欺骗攻击原理-- ARP断网攻击
• ARP 断网攻击能使网络通讯中断,危害性 最为严重。
• 其原理是:攻击主机向被攻击发起主动发 起 ARP 回应,告诉对方一个错误的网关 MAC,从而让对方的数据发往错误甚至是 不存在的 MAC 地址处,从而断网。如果同 时对网络中的所有主机进行攻击,则会导 致整个局域网全部断网。
ARP攻击防范
2 使用 ARP防护软件 • 它们除了本身来检测出 ARP 攻击外,防护 的工作原理是一定频率向网络广播正确的 ARP 信息。
– 欣向 ARP工具 – Antiarp
3 具有 ARP防护功能的路由器
实验
• • • • • • • 目的: 理解ARP协议的工作原理以及特点; 理解ARP攻击的原理; 了解网络协议的非安全性特点; 了解网络攻击的概念以及攻击的危害; 了解网络嗅探器的使用; 掌握ARP攻击的实现过程以及有效的防御措 施;
ARP欺骗攻击分类
• ARP攻击类型:
– ARP 扫描 – ARP 中间人攻击 – ARP断网攻击。
ARP欺骗攻击原理-- ARP 扫描攻击
• ARP 扫描(ARP请求风暴)用于查找网络中存活的 主机,为后续攻击做准备。 • 其原理是:攻击主机向网段中所有机器挨个发起 ARP 请求,网络中的主机收到此 ARP 请求后,会 对攻击主机进行响应。 • 通过 ARP 扫描,网络中的主机在攻击者面前将会 暴露无疑,同时网络带宽被也会被严重耗费。 •
ARP欺骗攻击原理-- ARP 中间人攻击
• ARP 中间人攻击用于窃取信息。
• 其原理是:攻击主机向被攻击主机和网关 同时主动发起 ARP 回应,告诉对方自己是 它的目标 MAC,从而使被欺骗主机和网关 发送给对方的数据都在攻击主机处进行一 个跳转,进而完成信息窃取的目的。 • ARP 中间人攻击,能够导致被攻击主机的信 息泄密,同时也会耗费网络带宽。
ARP协议简介
• ARP,全称Address Resolution Protocol,中文名为地 址解析协议,它工作在数据链路层,在本层和硬件 接口联系,同时对上层提供服务。 • IP数据包常通过以太网发送,以太网设备并不识别 32位IP地址,它们是以48位以太网地址传输以太网 数据包。因此,必须把IP目的地址转换成以太网目 的地址。在以太网中,一个主机要和另一个主机进 行直接通信,必须要知道目标主机的MAC地址。但 这个目标MAC地址是如何获得的呢?它就是通过地 址解析协议获得的。ARP协议用于将网络中的IP地址 解析为的硬件地址(MAC地址),以保证通信的顺 利进行。
wk.baidu.com
ARP欺骗
• 为什么ARP容易被欺骗? • 局域网内主机数据包的传送完成不是依靠IP 地址,而是依靠ARP找到与IP地址对应的 MAC地址实现的。 • ARP欺骗的根本原因就是计算机维持一个 ARP告诉缓存表。ARP协议是不连接不可靠 的协议,ARP表随计算机不断发出请求和收 到相应而更新的,因此,ARP表中数据是不 会经过确认的,从而引起ARP欺骗攻击。
• • • • • •
内容: 建立基于交换机的网络环境; 用sniffer捕获网络上站点的信息; 用sniffer构造ARP响应包实施中间人欺骗 观察各主机的ARP变化情况; 用sniffer观察并分析欺骗的过程中各站的信 息流量;
• 注意事项: • 攻击主机发送ARP响应的频率不能小于主机 中ARP表的更新频率。 • 攻击主机扮演成网关时,注意观察攻击主 机所捕获到的信息,看能不能获得有价值 的信息; • 观察如何是网络中断?
ARP攻击防范
1 静态绑定
• 最常用的方法就是做 IP 和 MAC 静态绑定,在网内把主机 和网关都做 IP 和 MAC 绑定。 • 命令,arp -s 可以实现 “arp –s IP MAC 地址 ” 。 • 例如: “arp –s 192.168.10.1 AA-AA-AA-AA-AA-AA” 。 • 在 PC 上面通过执行 arp -a 可以看到相关的提示: • Internet Address Physical Address Type • 192.168.10.1 AA-AA-AA-AA-AA-AA static(静态)
• 注意:一般情况下,ARP 欺骗的某一方应该是网关。
– B 向 A 发送一个自己伪造的 ARP 应答,这个应答中的数据为发送方 IP 地 址是 192.168.10.3(C 的 IP 地址),MAC 地址是BB-BB-BB-BB-BB-BB(C 的 MAC 地址本来应该是 CC-CC-CC-CC-CC-CC,这里被伪造了)。当A 接收到 B 伪造的 ARP 应答,就会更新本地的 ARP 缓存(A 被欺骗了) ,这时 B 就 伪装成C了。 – 同时,B 同样向C 发送一个 ARP 应答,应答包中发送方 IP 地址四 192.168.10.1(A 的IP地址) , MAC地址是BB-BB-BB-BB-BB-BB (A的MAC 地址本来应该是AA-AA-AA-AA-AA-AA) ,当 C 收到 B 伪造的 ARP 应答,也 会更新本地 ARP 缓存(C 也被欺骗了),这时 B 就伪装成了 A。 – 这样主机 A 和C 都被主机 B 欺骗,A和C 之间通讯的数据都经过了 B。主机 B 完全可以知道他们之间说的什么:)。这就是典型的 ARP 欺骗过程。
ARP报头结构
• • • •
• • • • • • •
硬件类型字段指明了发送方想知道的硬件接口类型,以太网的值为1; 协议类型字段指明了发送方提供的高层协议类型,IP为0800(16进制); 硬件地址长度和协议长度指明了硬件地址和高层协议地址的长度,这样ARP报文就可以 在任意硬件和任意协议的网络中使用; 操作字段用来表示这个报文的类型,ARP请求为1,ARP响应为2,RARP请求为3,RARP 响应为4; 发送方的硬件地址(0-3字节):源主机硬件地址的前3个字节; 发送方的硬件地址(4-5字节):源主机硬件地址的后3个字节; 发送方IP(0-1字节):源主机硬件地址的前2个字节; 发送方IP(2-3字节):源主机硬件地址的后2个字节; 目的硬件地址(0-1字节):目的主机硬件地址的前2个字节; 目的硬件地址(2-5字节):目的主机硬件地址的后4个字节; 目的IP(0-3字节):目的主机的IP地址。
ARP攻击实施工具
• 网络嗅探器sniffer
– 捕获目的主机信息 – 构造欺骗数据包 – 发起主动攻击
• 嗅探器的原理
ARP攻击实施工具
• 使用sniffer构造数据包
ARP 中间人攻击的实现
• 问题: 假设一个网络环境中,网内有三台主机,分别为主机 A、B、C。 A 的地址为:IP:192.168.10.1 MAC: AA-AA-AA-AA-AA-AA B 的地址为:IP:192.168.10.2 MAC: BB-BB-BB-BB-BB-BB C 的地址为:IP:192.168.10.3 MAC: CC-CC-CC-CC-CC-CC 正常情况下 A 和C 之间进行通讯,现在B要监听A和C之间的会话。 • 实施过程如下:
ARP的工作原理
• 首先,每台主机都会在自己的ARP缓冲区 (ARP Cache)中建立一个 ARP 列表,以表示IP地址和MAC地址的对应关系。 • 当源主机需要将一个数据包要发送到目的主机时,会首先检查自己 ARP列表中是否存在该 IP地址对应的MAC地址,如果有﹐就直接将数 据包发送到这个MAC地址;如果没有,就向本地网段发起一个ARP请 求的广播包,查询此目的主机对应的MAC地址。此ARP请求数据包里 包括源主机的IP地址、硬件地址、以及目的主机的IP地址。 • 网络中所有的主机收到这个ARP请求后,会检查数据包中的目的IP是 否和自己的IP地址一致。如果不相同就忽略此数据包;如果相同,该 主机首先将发送端的MAC地址和IP地址添加到自己的ARP列表中,如 果ARP表中已经存在该IP的信息,则将其覆盖,然后给源主机发送一 个 ARP响应数据包,告诉对方自己是它需要查找的MAC地址; • 源主机收到这个ARP响应数据包后,将得到的目的主机的IP地址和 MAC地址添加到自己的ARP列表中,并利用此信息开始数据的传输。 如果源主机一直没有收到ARP响应数据包,表示ARP查询失败。
ARP欺骗攻击原理-- ARP断网攻击
• ARP 断网攻击能使网络通讯中断,危害性 最为严重。
• 其原理是:攻击主机向被攻击发起主动发 起 ARP 回应,告诉对方一个错误的网关 MAC,从而让对方的数据发往错误甚至是 不存在的 MAC 地址处,从而断网。如果同 时对网络中的所有主机进行攻击,则会导 致整个局域网全部断网。
ARP攻击防范
2 使用 ARP防护软件 • 它们除了本身来检测出 ARP 攻击外,防护 的工作原理是一定频率向网络广播正确的 ARP 信息。
– 欣向 ARP工具 – Antiarp
3 具有 ARP防护功能的路由器
实验
• • • • • • • 目的: 理解ARP协议的工作原理以及特点; 理解ARP攻击的原理; 了解网络协议的非安全性特点; 了解网络攻击的概念以及攻击的危害; 了解网络嗅探器的使用; 掌握ARP攻击的实现过程以及有效的防御措 施;
ARP欺骗攻击分类
• ARP攻击类型:
– ARP 扫描 – ARP 中间人攻击 – ARP断网攻击。
ARP欺骗攻击原理-- ARP 扫描攻击
• ARP 扫描(ARP请求风暴)用于查找网络中存活的 主机,为后续攻击做准备。 • 其原理是:攻击主机向网段中所有机器挨个发起 ARP 请求,网络中的主机收到此 ARP 请求后,会 对攻击主机进行响应。 • 通过 ARP 扫描,网络中的主机在攻击者面前将会 暴露无疑,同时网络带宽被也会被严重耗费。 •
ARP欺骗攻击原理-- ARP 中间人攻击
• ARP 中间人攻击用于窃取信息。
• 其原理是:攻击主机向被攻击主机和网关 同时主动发起 ARP 回应,告诉对方自己是 它的目标 MAC,从而使被欺骗主机和网关 发送给对方的数据都在攻击主机处进行一 个跳转,进而完成信息窃取的目的。 • ARP 中间人攻击,能够导致被攻击主机的信 息泄密,同时也会耗费网络带宽。