局域网内如何防止ARP欺骗
ARP攻击防范与解决方案
ARP攻击防范与解决方案简介:ARP(Address Resolution Protocol)攻击是一种常见的网络安全威胁,攻击者通过伪造ARP响应包来欺骗网络设备,从而篡改网络流量的目的地址。
这种攻击可以导致网络中断、信息泄露和数据篡改等严重后果。
为了保护网络安全,我们需要采取一些防范措施和解决方案来避免ARP攻击的发生。
一、防范措施:1. 安全网络设计:合理规划网络拓扑结构,采用分段设计,将重要的服务器和关键设备放置在内部网络,与外部网络隔离。
2. 强化网络设备安全:对路由器、交换机等网络设备进行定期升级和漏洞修复,禁用不必要的服务和端口,启用访问控制列表(ACL)限制不必要的流量。
3. 使用网络设备认证机制:启用设备认证功能,只允许授权设备加入网络,防止未经授权的设备进行ARP攻击。
4. 配置静态ARP表项:将重要设备的IP地址和MAC地址进行绑定,限制ARP请求和响应的范围,减少ARP攻击的可能性。
5. 使用防火墙:配置防火墙规则,限制网络流量,过滤异常ARP请求,阻挠ARP攻击的传播。
6. 监控和检测:部署网络入侵检测系统(IDS)和入侵谨防系统(IPS),实时监控网络流量,及时发现并阻挠ARP攻击。
二、解决方案:1. ARP缓存监控和清除:定期监控网络设备的ARP缓存,发现异常的ARP缓存项,及时清除并重新学习正确的ARP信息。
2. 使用ARP欺骗检测工具:部署ARP欺骗检测工具,实时监测网络中的ARP 请求和响应,发现异常的ARP流量,并采取相应的谨防措施。
3. 使用ARP谨防软件:部署专门的ARP谨防软件,通过对ARP流量进行深度分析和识别,及时发现和阻挠ARP攻击。
4. VLAN隔离:使用VLAN技术将网络划分为多个虚拟局域网,限制不同VLAN之间的通信,减少ARP攻击的影响范围。
5. 加密通信:使用加密协议(如SSL、IPSec)对网络通信进行加密,防止ARP攻击者窃取敏感信息。
如何识别和避免网络ARP欺骗攻击
如何识别和避免网络ARP欺骗攻击网络ARP欺骗攻击是一种常见的网络安全威胁,它利用ARP协议的漏洞,冒充合法设备发送伪造的网络包,以获取网络通信中的敏感信息,或者干扰网络流量。
为了保护个人隐私和网络安全,我们需要学会识别和避免网络ARP欺骗攻击。
本文将介绍ARP欺骗攻击的原理、常见的攻击手段,以及如何使用防护措施来减少遭受此类攻击的风险。
一、ARP欺骗攻击的原理ARP(Address Resolution Protocol)是用于将IPv4地址与MAC地址相互映射的协议。
在局域网中,主机在通信前需要查询ARP表,获取目标主机的MAC地址。
ARP欺骗攻击者通过发送伪造的ARP响应包,将自己的MAC地址冒充合法设备,篡改ARP表中的映射关系,使得网络流量被重定向到攻击者的设备上。
由于攻击者能够接收和发送网络流量,他们可以窃取敏感信息,或者进行中间人攻击。
二、常见的ARP欺骗攻击手段1. ARP缓存中毒攻击:攻击者发送伪造的ARP响应包,将自己的MAC地址映射到合法设备的IP地址上,使得合法设备的网络流量被重定向到攻击者的设备上。
2. ARP欺骗中的中间人攻击:攻击者在ARP欺骗的基础上,偷偷将网络流量转发给目标设备,并篡改流量中的数据,以达到窃取信息的目的。
3. 反向ARP攻击:攻击者伪造目标设备的ARP响应包,将攻击者自己的MAC地址映射到目标设备的IP地址上,实现攻击者完全接收目标设备的网络流量。
三、识别网络ARP欺骗攻击1. 异常网络延迟:当网络受到ARP欺骗攻击时,通信的网络延迟通常会显著增加。
因为网络流量被重定向到攻击者的设备上,再经过攻击者的设备后才能到达目标设备。
2. MAC地址冲突:ARP欺骗攻击会导致网络上出现多个IP地址对应相同MAC地址的情况,这是一种常见的攻击迹象。
3. 在同一局域网中,通过工具查看ARP表,如果发现某个IP地址对应的MAC地址频繁改变,也可能是存在ARP欺骗攻击。
防范arp欺骗的方法
防范arp欺骗的方法ARP欺骗是一种常见的网络攻击手段,这种攻击手段利用了ARP协议的漏洞,将网络上的数据流重定向到攻击者的计算机上,从而实现窃取用户数据、嗅探网络流量甚至进行中间人攻击等目的。
为了防范ARP欺骗,我们可以采取一系列安全措施,包括以下几个方面:1. 使用未被攻击的网络通信方式可以采用虚拟专用网络(VPN)等方式来建立安全的网络通信,这样可以加密数据传输,防止数据被窃取。
此外,使用HTTPS 加密协议来保护网站通信,可以防止敏感信息泄漏。
2. 启用端口安全特性在交换机上启用端口安全特性,比如Cisco的接入控制列表(ACL)和端口安全(Port Security),这样可以限制单个端口的MAC地址数量,防止攻击者通过欺骗来插入非法设备。
3. 限制网络通信设备的物理访问将网络设备放置在安全可控的区域内,限制物理访问,同时使用物理安全设施(如监控摄像头、入侵报警系统等)来保护网络通信设备,防止攻击者通过物理方式攻击。
4. 定期更新系统和应用程序及时安装最新的操作系统和应用程序的安全补丁,这样可以修复已知的安全漏洞,有效降低被攻击的风险。
5. 配置安全策略在网络设备上配置安全策略,比如只允许特定MAC地址访问网络设备,禁止未授权的MAC地址通信等,这样可以防止欺骗攻击者绕过网络访问控制。
6. 使用网络入侵检测系统(NIDS)通过部署NIDS,可以对网络通信进行实时监控和分析,及时发现和阻止ARP欺骗攻击。
NIDS可以根据已知的攻击签名或异常行为检测到这类攻击,从而采取相应的防御措施。
7. 使用安全防火墙配置安全防火墙来监测和控制网络上的通信流量,防止ARP欺骗攻击,同时也能够通过网络地址转换(NAT)技术隐藏内部网络的真实IP地址,增加攻击者攻击的难度。
8. 启用ARP防火墙有些网络设备上有ARP防火墙的功能,可以根据设备的IP地址、MAC地址等信息,进行动态的ARP绑定,并设置有效期,有效防止ARP欺骗。
防范arp欺骗攻击的主要方法有
防范arp欺骗攻击的主要方法有
防范ARP欺骗攻击的主要方法包括:
1. 配置静态ARP表:在网络设备上配置静态ARP表,将每个IP地址与相应的MAC地址绑定起来,防止ARP欺骗攻击者伪造IP地址和MAC地址。
2. 使用ARP防火墙:部署ARP防火墙来监控和检测网络中的ARP流量,及时发现并阻止异常ARP请求和响应。
3. 使用ARP安全协议:使用ARP安全协议,如ARP安全(ARP Sec)、静态ARP检测(Static ARP Inspection)等,对网络中的ARP请求和响应进行验证和保护。
4. 实施网络隔离:将网络划分为多个虚拟局域网(VLAN),并在不同的VLAN 间限制通信,以防止ARP欺骗攻击跨越不同的网络进行。
5. 启用端口安全特性:在交换机上启用端口安全特性,限制每个接口上连接的最大MAC地址数量,防止攻击者通过连接多个设备进行ARP欺骗。
6. 使用加密和身份验证机制:使用加密协议和身份验证机制,如IPsec、SSL、802.1X等,在网络中传输的数据进行加密和身份验证,防止ARP欺骗攻击者窃取或篡改数据。
7. 监控和检测:定期监控和检测网络中的ARP流量和异常行为,及时发现并采取相应的应对措施。
8. 进行安全教育和培训:加强对用户和员工的安全意识培养,教育他们识别和避免ARP欺骗攻击,并提供相关的安全操作指导和培训。
防范arp欺骗攻击的主要方法
防范arp欺骗攻击的主要方法ARP(Address Resolution Protocol)欺骗攻击是一种利用ARP协议安全漏洞的攻击方式,通过伪造ARP响应报文,将目标主机与网关的通信转发到攻击者的主机,从而实现窃取数据、监听通信等攻击目的。
为了防范ARP欺骗攻击,我们可以采取以下主要方法:1. 静态ARP表配置:在网络设备中手动配置静态ARP表,将IP地址与MAC 地址正确绑定。
这样可以在发生ARP欺骗攻击时,设备会根据静态ARP表的配置进行判断,从而避免接收到虚假的ARP响应。
2. ARP协议的安全性加固:通过对网络设备的配置,可以增加ARP协议的安全性。
例如,使用ARP缓存超时时间限制,减少ARP缓存时间,可以减少攻击者进行ARP欺骗攻击的窗口期。
另外,关闭ARP请求广播转发功能,限制ARP 请求只在局域网中广播,可以减少攻击者发起ARP欺骗攻击的机会。
3. 安全交换机的使用:安全交换机具有对网络流量进行流量转发过滤的功能。
可以通过配置交换机来禁止ARP包的广播转发,同时只将ARP包转发到目标MAC地址处,避免ARP欺骗攻击。
4. 网络监控与检测系统:部署网络监控与检测系统,可以实时监测和检测ARP 欺骗攻击。
例如,通过对ARP响应报文的分析判断,检测到异常ARP响应时,立即发出警报或执行预先设定的应对措施,阻止攻击者进一步进行攻击。
5. 使用ARP防火墙:ARP防火墙是一种专门用于防范ARP欺骗攻击的设备,其工作原理是对所有进出网络的ARP请求和响应进行检测和过滤。
有效地防止了恶意ARP包的发送和伪造,从而保障了网络的安全。
6. 使用加密技术:使用加密技术对通信数据进行加密,可以在部分情况下抵御ARP欺骗攻击。
当攻击者截获加密数据时,由于无法破解密钥,无法获得有效信息。
总结来说,防范ARP欺骗攻击主要通过配置静态ARP表、加固ARP协议安全性、使用安全交换机、部署网络监控与检测系统、使用专门的ARP防火墙以及使用加密技术来实现。
ARP攻击防范与解决方案
ARP攻击防范与解决方案ARP(地址解析协议)攻击是一种常见的网络攻击手段,通过欺骗网络中的设备,使得攻击者可以窃取数据、篡改数据或者拒绝服务。
为了保护网络安全,我们需要了解ARP攻击的原理和解决方案。
一、ARP攻击的原理1.1 ARP欺骗:攻击者发送虚假ARP响应包,欺骗目标设备将攻击者的MAC 地址误认为是网关的MAC地址,导致数据流经攻击者设备。
1.2 中间人攻击:攻击者在网络中伪装成网关,截取目标设备与网关之间的通信,可以窃取敏感信息。
1.3 DOS攻击:攻击者发送大量虚假ARP请求,使得网络设备无法正常通信,造成网络拥堵。
二、ARP攻击的危害2.1 数据泄露:攻击者可以窃取目标设备的敏感信息,如账号、密码等。
2.2 数据篡改:攻击者可以篡改数据包,导致目标设备收到错误的数据。
2.3 网络拒绝服务:攻击者可以通过ARP攻击使得网络设备无法正常通信,造成网络拥堵。
三、ARP攻击的防范方法3.1 ARP绑定:在网络设备中配置ARP绑定表,将IP地址和MAC地址进行绑定,减少ARP欺骗的可能性。
3.2 安全路由器:使用具有ARP防护功能的安全路由器,可以检测和阻挠虚假ARP响应包。
3.3 网络监控:定期监控网络流量和ARP表,及时发现异常情况并采取相应措施。
四、ARP攻击的解决方案4.1 使用静态ARP表:在网络设备中手动配置ARP表,避免自动学习带来的风险。
4.2 ARP检测工具:使用专门的ARP检测工具,可以检测网络中是否存在ARP攻击,并及时采取应对措施。
4.3 更新网络设备:及时更新网络设备的固件和软件,修复已知的ARP攻击漏洞,提高网络安全性。
五、ARP攻击的应急响应5.1 断开网络连接:一旦发现ARP攻击,即将断开受影响设备的网络连接,阻挠攻击继续扩散。
5.2 修改密码:及时修改受影响设备的账号密码,避免敏感信息泄露。
5.3 报警通知:向网络管理员或者安全团队报告ARP攻击事件,协助进行应急响应和网络恢复。
如何通过防止ARP欺骗保护网络IP
如何通过防止ARP欺骗保护网络IP ARP(Address Resolution Protocol)欺骗是一种常见的网络攻击手段,黑客可以利用ARP欺骗来窃取实时网络流量、拦截敏感数据或者进行中间人攻击。
为了保护网络IP的安全,必须采取措施来防止ARP 欺骗。
本文将介绍几种有效的方法,帮助您保护网络IP免受ARP欺骗的威胁。
1. 使用静态ARP绑定静态ARP绑定是一种简单有效的方法,它将某个IP地址与其对应的MAC地址进行绑定,确保ARP表中的IP-MAC映射是正确的,不易受到欺骗。
管理员可以手动添加和修改ARP表项,将合法设备的IP 与其MAC地址进行绑定。
这样,当收到ARP请求时,系统会检查ARP请求的IP是否与静态绑定的IP一致,如果不一致,则认为是ARP欺骗攻击,并阻止该请求。
2. 使用ARP监控工具ARP监控工具可以实时监测网络中的ARP流量,并及时发现异常情况。
这些工具可以检测到同一网络中多个设备使用相同MAC地址,或者一个设备频繁变更MAC地址等异常情况,从而提醒管理员可能存在ARP欺骗攻击。
常见的ARP监控工具有ArpON、Arpwatch等,管理员可以根据需求选择适合的工具进行监控。
3. 使用网络设备防护功能许多网络设备,如交换机、路由器、防火墙等,都提供了防护ARP欺骗的功能。
管理员可以通过配置设备的ARP防护策略,限制ARP流量的发送和接收。
常见的防护方法包括ARP抑制、ARP检测、ARP绑定等。
这些功能可以有效地检测和阻止ARP欺骗攻击,保护网络IP的安全。
4. 使用虚拟局域网(VLAN)虚拟局域网可以将网络划分为多个逻辑上的独立区域,每个区域内的设备只能与同一区域内的设备通信,从而隔离了各个区域之间的通信,减少了ARP欺骗的风险。
管理员可以根据网络规模和需求,合理划分VLAN,将不同安全等级的设备放在不同的VLAN中,从而提高网络的安全性。
5. 加密通信使用加密协议和加密技术可以有效地防止ARP欺骗攻击。
ARP攻击防范与解决方案
ARP攻击防范与解决方案一、背景介绍ARP(Address Resolution Protocol)是用于在局域网中将IP地址转换为物理MAC地址的协议。
然而,ARP协议的设计缺陷使得攻击者可以通过ARP欺骗攻击(ARP Spoofing)来进行网络攻击。
ARP攻击会导致网络中的主机无法正常通信,甚至造成敏感信息泄露和网络瘫痪。
因此,为了保护网络安全,我们需要采取一系列的防范措施和解决方案来应对ARP攻击。
二、防范措施1. 使用静态ARP表静态ARP表是一种手动配置的ARP表,将IP地址与MAC地址进行绑定,使得ARP欺骗攻击者无法篡改ARP表。
管理员可以在网络设备上手动添加静态ARP 表项,确保网络中的主机只能与正确的MAC地址通信。
2. 使用ARP防火墙ARP防火墙可以监控网络中的ARP请求和响应,并根据事先设定的策略进行过滤。
当检测到ARP欺骗攻击时,ARP防火墙可以阻止异常的ARP请求和响应,保护网络中的主机免受攻击。
3. 使用网络入侵检测系统(NIDS)网络入侵检测系统可以监测网络流量中的异常ARP活动,如大量的ARP请求、多个主机使用相同的MAC地址等。
一旦检测到ARP攻击,NIDS可以及时发出警报并采取相应的防御措施,阻止攻击者进一步侵入网络。
4. 使用虚拟局域网(VLAN)虚拟局域网可以将网络划分为多个逻辑上的子网,不同子网之间的通信需要经过路由器进行转发。
通过使用VLAN,可以限制ARP欺骗攻击者的攻击范围,提高网络的安全性。
5. 使用加密通信协议使用加密通信协议(如SSL、IPsec等)可以加密通信过程中的数据,防止敏感信息在网络中被攻击者窃取。
即使遭受ARP攻击,攻击者也无法获取到加密的数据,保护网络中的通信安全。
三、解决方案1. 及时更新操作系统和应用程序操作系统和应用程序的漏洞是攻击者进行ARP攻击的入口之一。
及时更新操作系统和应用程序,安装最新的安全补丁,可以修复已知的漏洞,减少被攻击的风险。
- 1、下载文档前请自行甄别文档内容的完整性,平台不提供额外的编辑、内容补充、找答案等附加服务。
- 2、"仅部分预览"的文档,不可在线预览部分如存在完整性等问题,可反馈申请退款(可完整预览的文档不适用该条件!)。
- 3、如文档侵犯您的权益,请联系客服反馈,我们会尽快为您处理(人工客服工作时间:9:00-18:30)。
局域网内如何防止ARP欺骗时间:2011-04-28 17:05 来源:雨林木风系统门户收藏复制分享共有评论(0)条一、理论前提本着“不冤枉好人,不放过一个坏人的原则”,先说说我的一些想法和理论依据。
首先,大家肯定发送ARP欺骗包肯定是一个恶毒的程序自动发送的,正常的 TCP/IP网络是不会有这样的错误包发送的(板砖扔了过来啊,废话!)。
这就假设,如果犯罪嫌疑人没有启动这个破坏程序的时候,网络环境是正常的,或者说网络的ARP环境是正常的,如果我们能在犯罪嫌疑人启动这个犯罪程序的第一时间,一开始就发现了他的犯罪活动,那么就是人赃俱在,不可抵赖了,因为刚才提到,前面网络正常的时候证据是可信和可依靠的。
好,接下来我们谈论如何在第一时间发现他的犯罪活动。
ARP欺骗的原理如下:假设这样一个网络,一个Hub接了3台机器HostA HostB HostC 其中A的地址为:IP:192.168.10.1 MAC: AA-AA-AA-AA-AA-AAB的地址为:IP:192.168.10.2 MAC: BB-BB-BB-BB-BB-BBC的地址为:IP:192.168.10.3 MAC: CC-CC-CC-CC-CC-CC正常情况下 C:\arp -aInterface: 192.168.10.1 on Interface 0x1000003Internet Address Physical Address Type192.168.10.3 CC-CC-CC-CC-CC-CC dynamic现在假设HostB开始了罪恶的ARP欺骗:B向A发送一个自己伪造的ARP应答,而这个应答中的数据为发送方IP地址是192.168.10.3(C的IP地址),MAC地址是DD-DD-DD- DD-DD-DD(C的MAC地址本来应该是CC-CC-CC-CC-CC-CC,这里被伪造了)。
当A接收到B伪造的ARP应答,就会更新本地的ARP 缓存(A可不知道被伪造了)。
而且A不知道其实是从B发送过来的,A这里只有192.168.10.3(C的IP地址)和无效的DD-DD-DD-DD- DD-DD mac地址,没有和犯罪分子B相关的证据,哈哈,这样犯罪分子岂不乐死了。
现在A机器的ARP缓存更新了:C:\>arp -aInterface: 192.168.10.1 on Interface 0x1000003Internet Address Physical Address Type192.168.10.3 DD-DD-DD-DD-DD-DD dynamic这可不是小事。
局域网的网络流通可不是根据IP地址进行,而是按照MAC地址进行传输。
现在192.168.10.3的MAC地址在A上被改变成一个本不存在的MAC地址。
现在A开始Ping 192.168.10.3,网卡递交的MAC地址是DD-DD-DD-DD-DD-DD,结果是什么呢?网络不通,A根本不能Ping通C!!所以,局域网中一台机器,反复向其他机器,特别是向网关,发送这样无效假冒的ARP 应答信息包,NND,严重的网络堵塞就开始了!网吧管理员的噩梦开始了。
我的目标和任务,就是第一时间,抓住他。
不过从刚才的表述好像犯罪分子完美的利用了以太网的缺陷,掩盖了自己的罪行。
但其实,以上方法也有留下了蛛丝马迹。
尽管,ARP数据包没有留下HostB 的地址,但是,承载这个ARP包的ethernet帧却包含了HostB的源地址。
而且,正常情况下 ethernet数据帧中,帧头中的MAC源地址/目标地址应该和帧数据包中ARP信息配对,这样的ARP包才算是正确的。
如果不正确,肯定是假冒的包,可以提醒!但如果匹配的话,也不一定代表正确,说不定伪造者也考虑到了这一步,而伪造出符合格式要求,但内容假冒的ARP数据包。
不过这样也没关系,只要网关这里拥有本网段所有MAC地址的网卡数据库,如果和Mac数据库中数据不匹配也是假冒的ARP数据包。
也能提醒犯罪分子动手了。
[nextpage]二、防范措施1. 建立DHCP服务器(建议建在网关上,因为DHCP不占用多少CPU,而且ARP欺骗攻击一般总是先攻击网关,我们就是要让他先攻击网关,因为网关这里有监控程序的,网关地址建议选择192.168.10.2 ,把192.168.10.1留空,如果犯罪程序愚蠢的话让他去攻击空地址吧),另外所有客户机的IP地址及其相关主机信息,只能由网关这里取得,网关这里开通DHCP服务,但是要给每个网卡,绑定固定唯一IP地址。
一定要保持网内的机器IP/MAC一一对应的关系。
这样客户机虽然是DHCP取地址,但每次开机的IP地址都是一样的。
2. 建立MAC数据库,把网吧内所有网卡的MAC地址记录下来,每个MAC和IP、地理位置统统装入数据库,以便及时查询备案。
3. 网关机器关闭ARP动态刷新的过程,使用静态路邮,这样的话,即使犯罪嫌疑人使用ARP欺骗攻击网关的话,这样对网关也是没有用的,确保主机安全。
网关建立静态IP/MAC捆绑的方法是:建立/etc/ethers文件,其中包含正确的IP/MAC 对应关系,格式如下:192.168.2.32 08:00:4E:B0:24:47然后再/etc/rc.d/rc.local最后添加:arp -f 生效即可4. 网关监听网络安全。
网关上面使用TCPDUMP程序截取每个ARP程序包,弄一个脚本分析软件分析这些ARP协议。
ARP欺骗攻击的包一般有以下两个特点,满足之一可视为攻击包报警:第一以太网数据包头的源地址、目标地址和ARP数据包的协议地址不匹配。
或者,ARP数据包的发送和目标地址不在自己网络网卡MAC数据库内,或者与自己网络MAC数据库MAC/IP 不匹配。
这些统统第一时间报警,查这些数据包(以太网数据包)的源地址(也有可能伪造),就大致知道那台机器在发起攻击了。
5. 偷偷摸摸的走到那台机器,看看使用人是否故意,还是被任放了什么木马程序陷害的。
如果后者,不声不响的找个借口支开他,拔掉网线(不关机,特别要看看Win98里的计划任务),看看机器的当前使用记录和运行情况,确定是否是在攻击。
出几点加强安全防范的措施。
环境是主机或者网关是基于Linux/BSD的。
怎样处理局域网内的ARP欺骗木马程序【故障原理】要了解故障原理,我们先来了解一下ARP协议。
在局域网中,通过ARP协议来完成IP地址转换为第二层物理地址(即MAC地址)的。
ARP协议对网络安全具有重要的意义。
通过伪造IP地址和MAC地址实现ARP欺骗,能够在网络中产生大量的ARP 通信量使网络阻塞。
【故障原理】要了解故障原理,我们先来了解一下ARP协议。
在局域网中,通过ARP协议来完成IP地址转换为第二层物理地址(即MAC 地址)的。
ARP协议对网络安全具有重要的意义。
通过伪造IP地址和MAC地址实现ARP欺骗,能够在网络中产生大量的ARP通信量使网络阻塞。
ARP协议是“Address Resolution Protocol”(地址解析协议)的缩写。
在局域网中,网络中实际传输的是“帧”,帧里面是有目标主机的MAC地址的。
在以太网中,一个主机要和另一个主机进行直接通信,必须要知道目标主机的MAC地址。
但这个目标MAC地址是如何获得的呢?它就是通过地址解析协议获得的。
所谓“地址解析”就是主机在发送帧前将目标IP地址转换成目标MAC地址的过程。
ARP协议的基本功能就是通过目标设备的IP地址,查询目标设备的MAC 地址,以保证通信的顺利进行。
每台安装有TCP/IP协议的电脑里都有一个ARP缓存表,表里的IP地址与MAC地址是一一对应的,如下表所示。
主机 IP地址 MAC地址A 192.168.16.1 aa-aa-aa-aa-aa-aaB 192.168.16.2 bb-bb-bb-bb-bb-bbC 192.168.16.3 cc-cc-cc-cc-cc-ccD 192.168.16.4 dd-dd-dd-dd-dd-dd我们以主机A(192.168.16.1)向主机B(192.168.16.2)发送数据为例。
当发送数据时,主机A会在自己的ARP缓存表中寻找是否有目标IP地址。
如果找到了,也就知道了目标MAC地址,直接把目标MAC地址写入帧里面发送就可以了;如果在ARP缓存表中没有找到相对应的IP地址,主机A就会在网络上发送一个广播,目标MAC地址是“FF.FF.FF.FF.FF.FF”,这表示向同一网段内的所有主机发出这样的询问:“192.168.16.2的MAC地址是什么?”网络上其他主机并不响应ARP询问,只有主机B接收到这个帧时,才向主机A做出这样的回应:“192.168.16.2的MAC地址是bb-bb-bb-bb-bb-bb”。
这样,主机A就知道了主机B的MAC地址,它就可以向主机B发送信息了。
同时它还更新了自己的ARP缓存表,下次再向主机B发送信息时,直接从ARP缓存表里查找就可以了。
ARP 缓存表采用了老化机制,在一段时间内如果表中的某一行没有使用,就会被删除,这样可以大大减少ARP缓存表的长度,加快查询速度。
从上面可以看出,ARP协议的基础就是信任局域网内所有的人,那么就很容易实现在以太网上的ARP欺骗。
对目标A进行欺骗,A去Ping主机C却发送到了DD-DD-DD-DD-DD-DD这个地址上。
如果进行欺骗的时候,把C的MAC地址骗为DD-DD-DD-DD-DD-DD,于是A发送到C上的数据包都变成发送给D的了。
这不正好是D能够接收到A发送的数据包了么,嗅探成功。
A对这个变化一点都没有意识到,但是接下来的事情就让A产生了怀疑。
因为A和C连接不上了。
D对接收到A发送给C的数据包可没有转交给C。
做“man in the middle”,进行ARP重定向。
打开D的IP转发功能,A发送过来的数据包,转发给C,好比一个路由器一样。
不过,假如D发送ICMP重定向的话就中断了整个计划。
D直接进行整个包的修改转发,捕获到A发送给C的数据包,全部进行修改后再转发给C,而C接收到的数据包完全认为是从A发送来的。
不过,C发送的数据包又直接传递给A,倘若再次进行对C的ARP欺骗。
现在D就完全成为A与C的中间桥梁了,对于A和C之间的通讯就可以了如指掌了。
【故障现象】当局域网内某台主机运行ARP欺骗的木马程序时,会欺骗局域网内所有主机和路由器,让所有上网的流量必须经过病毒主机。
其他用户原来直接通过路由器上网现在转由通过病毒主机上网,切换的时候用户会断一次线。
切换到病毒主机上网后,如果用户已经登陆了传奇服务器,那么病毒主机就会经常伪造断线的假像,那么用户就得重新登录传奇服务器,这样病毒主机就可以盗号了。
由于ARP欺骗的木马程序发作的时候会发出大量的数据包导致局域网通讯拥塞以及其自身处理能力的限制,用户会感觉上网速度越来越慢。