ARP欺骗攻击的实现与防范docxWord格式.docx

ARP欺骗攻击的实现与防范docxWord格式.docx

《ARP欺骗攻击的实现与防范docxWord格式.docx》由会员分享，可在线阅读，更多相关《ARP欺骗攻击的实现与防范docxWord格式.docx（6页珍藏版）》请在冰豆网上搜索。

6

i

8

9

10

11

12

6字节

2字节

1字节

4字节

日的

MAC

ilR.MAC

协议

类型

硬件

地址长度

操作类型

发送者MAC

发送

者IP

接攻

者MAC

接收者IP

•硬件类型字段指明了发送方想知道的硬件接口类型，以太网的值为1;

•协议类型字段指明了发送方提供的高层协议类型，IP为0800（16进制）；

•硕件地址长度和协议长度指明了硬件地址和高层协议地址的长度，这样ARP报文就可以在任意硕件和任意协议的网络中使用；

•操作字段用来表示这个报文的类型，ARP请求为2,ARP响应为2,RARP请求为3,RARP响应为4；

•发送方的硬件地址（0・3字节）:

源主机硕件地址的前3个字节；

•发送方的硬件地址（4・5字节）：

源主机硕件地址的后3个字节；

•发送方IP（0・1字节）:

源主机硬件地址的前2个字节；

•发送方IP（2・3字节）：

源主机破件地址的后2个字节；

•目的硬件地址（0・1字节）:

目的主机硬件地址的前2个字节；

•目的硬件地址（2・5字节）:

目的主机硕件地址的后4个字节；

•目的IP（0・3字节）：

目的主机的IP地址。

首先，每台主机都会在自己的ARP缓冲区（ARPCache）中建立一个ARP列表，LUS/JnIP地证和MAC地址的对应关系。

当源主机竟要将一个数据包要发送到目的主机时，会首先检查自己ARP列丧审是否存在该IP地址对应的MAC地址，如果有，就直接％数据包发送到这个MAC地址；

如果没有，就向本地网段发起一个ARP请隶的广播包，查谕此目的主机对应的MAC地址。

此ARP请求数拥包里包括源主机的IP地址、瞇件地址、以及目的主机的IP地址。

，该如盖，然后给源主机发送一

网络中所有的主机收到这个ARP请求后，会检查数据包中的目的IP是否和口己的IP地址一致。

如果不相同就忽略此敦据包；

女「主机首先将发送端的MAC地址和IP地址添加到口己的ARP果ARP表中已经存在该IP的信息，则将其覆个ARP响应数据包，告诉对方自己是它需要查找的MAC地址；

聪瞇豔盒曬牆綺鮎:

般融超飙鸚瀏霧。

如果源主机一直没有收到ARP响应数据包，表示ARP查谕头败。

ARP欺骗

•为什么ARP容易被欺骗？

•局域网内主机数据包的传送完成不是依靠IP地址，而是依靠ARP找到与IP地址对应的MAC地址实现的。

•ARP欺骗的根本原因就是计算机维持一个

ARP告诉缓存表。

ARP协议是不连接不可靠

的协议，ARP表随计算机不断发出请求和收到相应而更新的，因此，ARP表中数据是不

会经过确认的，从而引起ARP欺骗攻击。

•ARP攻击类型：

-ARP扫描

-ARP中间人攻击_ARP断网攻击。

ARP欺骗攻击原理"

ARP扫描攻击

・ARP扫描（ARP请求风暴）用于查找网络中存活的

主机，为后续攻击做准备。

・其原理是：

攻击主机向网段中所有机器挨个发起ARP请求，网络中的主机收到此ARP请求后，会对攻击主机进行响应。

・通过ARP扫描，网络中的主机在攻击者面前将会暴露无疑，同时网络带宽被也会被严重耗费。

ARP欺骗攻击原理-ARP中间人攻击

•ARP中间人攻击用于窃取信息。

•其原理是：

攻击王机向被攻击主机和网关同时主动发起ARP回应，告诉对方自己是

它的目标MAC,从而使被欺骗主机和网关

发送给对方的数据都在攻击主机处进行一个跳转，进而完成信息窃取的目的。

•ARP中间人攻击，能够导致被攻击主机的信息泄密，同时也会耗费网络带宽。

ARP欺骗攻击原理-ARP断网攻击

•ARP断网攻击能使网络通讯中断，危害性最为严重。

攻击主机向被攻击发起主动发起ARP回应，告诉对方一个错误的网关MAC,从而让对方的数据发往错误甚至是不存在的MAC地址处，从而断网。

如果同时对网络中的所有主机进行攻击，则会导致整个局域网全部断网。

•网络嗅探器sniffer

-捕获目的主机信息-构造欺骗数据包

-发起主动攻击

•嗅探器的原理

使用sniffer构造数据包

•问题：

假设一个网络环境中，网内有三台主机，分别为主机A、B、Co

A的地址为:

IP：

192.168.10.1MAC:

AA-AA-AA-AA-AA-AA

B的地址为：

192.168.10.2MAC:

BB-BB-BB-BB-BB-BB

C的地址为:

192.168.10.3MAC:

CC-CC-CC-CC-CC-CC

正常情况下A和C之间进行通讯，现在B要监听A和C之间的会话。

•实施过程如下：

优甩A友迖一个目已肉疸卩

址是192.168.10.3（C的JPMAC士该是CC-Cc-LL-LL-CL-LL,必

*&

疣会更新本地的ARP缓存（A被欺

成C了。

-同时，B同样向C伐琳二个ARP应答&

車答包中发送方IP地址四，的IP地址），MAC地旺…B-Bg曇爭啓r^J^IA务

ST瀛砧呈主机

讎）％疔

™,一这加对当加

MAC弘能

来卒亥'

是A从a岸AA・aa・aa・aa），'

当c未施ARP缓存（C也被欺骗了），

漏粒、缨临羅

旳B斥

也们乙日.

•注意：

一般情况下，ARP欺骗的某一方应该是网关。

i静态绑定

・最常用的方法就是做IP和MAC静态绑定，在网内把主机和网关都做IP和MAC绑定。

・命令，arp-s可以实现“arp-sIPMAC地址”。

•例如：

"

arp—s192.168.10.1AA-AA-AA-AA-AA-AA"

。

•在PC上面通过执行arp-a可以看到相关的提不：

•InternetAddressPhysicalAddressType

•192.168.10.1AA-AA-AA-AA-AA-AAstatic（静态）

2使用ARP防护软件

•它们除了本身来检测出ARP攻击外，防护的工作原理是一定频率向网络广播正确的ARP信息o

-欣向ARP工具

一Antiarp

3具有ARP防护功能的路由器

实验

•目的：

•理解ARP协议的工作原理以及特点；

•理解ARP攻击的原理；

•了解网络协议的非安全性特点；

•了解网络攻击的概念以及攻击的危害；

•了解网络嗅探器的使用；

•掌握ARP攻击的实现过程以及有效的防御措施；

内容：

建立基于交换机的网络环境;

用sniffer捕获网络上站点的信息；

用sniffer构造ARP响应包实施中间人欺骗观察各主机的ARP变化情况；

息流量;

•注意事项：

•攻击主机发送ARP响应的频率不能小于主机中ARP表的更新频率。

•尹击主机扮演成网关时，注意观察攻击主获到的信息，看能不能获得有价值的信息；

•观察如何是网络中断？