ARP欺骗攻击的实现与防范docx.docx
- 文档编号:7279793
- 上传时间:2023-01-22
- 格式:DOCX
- 页数:6
- 大小:48.32KB
ARP欺骗攻击的实现与防范docx.docx
《ARP欺骗攻击的实现与防范docx.docx》由会员分享,可在线阅读,更多相关《ARP欺骗攻击的实现与防范docx.docx(6页珍藏版)》请在冰豆网上搜索。
ARP欺骗攻击的实现与防范docx
ARP欺骗攻击的实现与防范
ARP协议简介
・ARP,全称AddressResolutionProtocol,中文名为地松解析虫'议,它工作在敦堀链路层,在本层和硬件接口唳系,同时对上层提視服务。
・IP数据包常通过以太网发送,以太网设备并不识别32位IP地址,它们是以48位以太网地址传输以太网数据包。
因此,必须把IP目的地址转换成以太网目的地址。
在以太网中,一个主机袈利另一个主机进行直接通詹,必须要知道目标主fLKMAC地址。
但这个目标MAC地址是如何获得的呢?
它就是通过地址解析协议获得的。
ARP协议用于将网络中的IP地址解析为的硬件地址(MAC地址),以保证通信的顺利进行。
ARP报头结构
1
2
3
4
■
0
6
i
8
9
10
11
12
6字节
6字节
2字节
2字节
2字节
1字节
1字节
2字节
6字节
4字节
6字节
4字节
日的
MAC
ilR.MAC
协议
类型
硬件
类型
协议
类型
硬件
地址长度
地址长度
操作类型
发送者MAC
发送
者IP
接攻
者MAC
接收者IP
•硬件类型字段指明了发送方想知道的硬件接口类型,以太网的值为1;
•协议类型字段指明了发送方提供的高层协议类型,IP为0800(16进制);
•硕件地址长度和协议长度指明了硬件地址和高层协议地址的长度,这样ARP报文就可以在任意硕件和任意协议的网络中使用;
•操作字段用来表示这个报文的类型,ARP请求为2,ARP响应为2,RARP请求为3,RARP响应为4;
•发送方的硬件地址(0・3字节):
源主机硕件地址的前3个字节;
•发送方的硬件地址(4・5字节):
源主机硕件地址的后3个字节;
•发送方IP(0・1字节):
源主机硬件地址的前2个字节;
•发送方IP(2・3字节):
源主机破件地址的后2个字节;
•目的硬件地址(0・1字节):
目的主机硬件地址的前2个字节;
•目的硬件地址(2・5字节):
目的主机硕件地址的后4个字节;
•目的IP(0・3字节):
目的主机的IP地址。
首先,每台主机都会在自己的ARP缓冲区(ARPCache)中建立一个ARP列表,LUS/JnIP地证和MAC地址的对应关系。
当源主机竟要将一个数据包要发送到目的主机时,会首先检查自己ARP列丧审是否存在该IP地址对应的MAC地址,如果有,就直接%数据包发送到这个MAC地址;如果没有,就向本地网段发起一个ARP请隶的广播包,查谕此目的主机对应的MAC地址。
此ARP请求数拥包里包括源主机的IP地址、瞇件地址、以及目的主机的IP地址。
,该如盖,然后给源主机发送一
网络中所有的主机收到这个ARP请求后,会检查数据包中的目的IP是否和口己的IP地址一致。
如果不相同就忽略此敦据包;女「主机首先将发送端的MAC地址和IP地址添加到口己的ARP果ARP表中已经存在该IP的信息,则将其覆个ARP响应数据包,告诉对方自己是它需要查找的MAC地址;
聪瞇豔盒曬牆綺鮎:
般融超飙鸚瀏霧。
如果源主机一直没有收到ARP响应数据包,表示ARP查谕头败。
ARP欺骗
•为什么ARP容易被欺骗?
•局域网内主机数据包的传送完成不是依靠IP地址,而是依靠ARP找到与IP地址对应的MAC地址实现的。
•ARP欺骗的根本原因就是计算机维持一个
ARP告诉缓存表。
ARP协议是不连接不可靠
的协议,ARP表随计算机不断发出请求和收到相应而更新的,因此,ARP表中数据是不
会经过确认的,从而引起ARP欺骗攻击。
•ARP攻击类型:
-ARP扫描
-ARP中间人攻击_ARP断网攻击。
ARP欺骗攻击原理"ARP扫描攻击
・ARP扫描(ARP请求风暴)用于查找网络中存活的
主机,为后续攻击做准备。
・其原理是:
攻击主机向网段中所有机器挨个发起ARP请求,网络中的主机收到此ARP请求后,会对攻击主机进行响应。
・通过ARP扫描,网络中的主机在攻击者面前将会暴露无疑,同时网络带宽被也会被严重耗费。
ARP欺骗攻击原理-ARP中间人攻击
•ARP中间人攻击用于窃取信息。
•其原理是:
攻击王机向被攻击主机和网关同时主动发起ARP回应,告诉对方自己是
它的目标MAC,从而使被欺骗主机和网关
发送给对方的数据都在攻击主机处进行一个跳转,进而完成信息窃取的目的。
•ARP中间人攻击,能够导致被攻击主机的信息泄密,同时也会耗费网络带宽。
ARP欺骗攻击原理-ARP断网攻击
•ARP断网攻击能使网络通讯中断,危害性最为严重。
•其原理是:
攻击主机向被攻击发起主动发起ARP回应,告诉对方一个错误的网关MAC,从而让对方的数据发往错误甚至是不存在的MAC地址处,从而断网。
如果同时对网络中的所有主机进行攻击,则会导致整个局域网全部断网。
•网络嗅探器sniffer
-捕获目的主机信息-构造欺骗数据包
-发起主动攻击
•嗅探器的原理
使用sniffer构造数据包
•问题:
假设一个网络环境中,网内有三台主机,分别为主机A、B、Co
A的地址为:
IP:
192.168.10.1MAC:
AA-AA-AA-AA-AA-AA
B的地址为:
IP:
192.168.10.2MAC:
BB-BB-BB-BB-BB-BB
C的地址为:
IP:
192.168.10.3MAC:
CC-CC-CC-CC-CC-CC
正常情况下A和C之间进行通讯,现在B要监听A和C之间的会话。
•实施过程如下:
优甩A友迖一个目已肉疸卩
址是192.168.10.3(C的JPMAC士该是CC-Cc-LL-LL-CL-LL,必
*&疣会更新本地的ARP缓存(A被欺
成C了。
-同时,B同样向C伐琳二个ARP应答&車答包中发送方IP地址四,的IP地址),MAC地旺…B-Bg曇爭啓r^J^IA务
ST瀛砧呈主机
讎)%疔
™,一这加对当加
MAC弘能
来卒亥'是A从a岸AA・aa・aa・aa),'当c未施ARP缓存(C也被欺骗了),
漏粒、缨临羅
旳B斥
也们乙日.
•注意:
一般情况下,ARP欺骗的某一方应该是网关。
i静态绑定
・最常用的方法就是做IP和MAC静态绑定,在网内把主机和网关都做IP和MAC绑定。
・命令,arp-s可以实现“arp-sIPMAC地址”。
•例如:
"arp—s192.168.10.1AA-AA-AA-AA-AA-AA"。
•在PC上面通过执行arp-a可以看到相关的提不:
•InternetAddressPhysicalAddressType
•192.168.10.1AA-AA-AA-AA-AA-AAstatic(静态)
2使用ARP防护软件
•它们除了本身来检测出ARP攻击外,防护的工作原理是一定频率向网络广播正确的ARP信息o
-欣向ARP工具
一Antiarp
3具有ARP防护功能的路由器
实验
•目的:
•理解ARP协议的工作原理以及特点;
•理解ARP攻击的原理;
•了解网络协议的非安全性特点;
•了解网络攻击的概念以及攻击的危害;
•了解网络嗅探器的使用;
•掌握ARP攻击的实现过程以及有效的防御措施;
内容:
建立基于交换机的网络环境;
用sniffer捕获网络上站点的信息;
用sniffer构造ARP响应包实施中间人欺骗观察各主机的ARP变化情况;
息流量;
•注意事项:
•攻击主机发送ARP响应的频率不能小于主机中ARP表的更新频率。
•尹击主机扮演成网关时,注意观察攻击主获到的信息,看能不能获得有价值的信息;
•观察如何是网络中断?
- 配套讲稿:
如PPT文件的首页显示word图标,表示该PPT已包含配套word讲稿。双击word图标可打开word文档。
- 特殊限制:
部分文档作品中含有的国旗、国徽等图片,仅作为作品整体效果示例展示,禁止商用。设计者仅对作品中独创性部分享有著作权。
- 关 键 词:
- ARP 欺骗 攻击 实现 防范 docx