ARP论文ARP攻击的原理论文
局域网ARP攻击及防御策略的研究论文
安装杀毒软件
用户应该安装具有ARP防护功能 的杀毒软件,以便及时检测和阻 止ARP攻击。此外,管理员也应 该在全网范围内实施统一的安全 策略,提高整体安全防护能力。
攻击实例
ARP泛洪攻击可导致网络延迟增大、数据传输变慢甚至网络中断,严重影响 网络正常使用。
ARP缓存投毒攻击
攻击方式
通过伪造正确的ARP报文,将错误的IPMAC映射添加到目标设备的ARP缓存表中 。
攻击实例
ARP缓存投毒攻击可导致目标设备无法正 常访问指定的IP地址,或者将数据发送到 错误的MAC地址。
用户隐私泄露
ARP攻击可以通过截获、篡改数据包等手段,获取用户的个人信息,如账号、密码等,对 用户的隐私造成极大的侵害。
ARP防御策略
安全接入网络
用户在接入网络时,应该使用安 全性能较高的网络设备,如带有 ARP防护功能的交换机或路由器 等。同时,用户也应该开启自身 计算机的ARP防护功能。
IP-MAC绑定
基于网络拓扑定位
根据网络拓扑结构,确定ARP 攻击者的位置。
基于流量分析定位
通过分析网络流量数据,确定 ARP攻击者的位置。
基于响应时间定位
通过分析设备响应时间的变化,确 定ARP攻击者的位置。
04
针对ARP攻击的防御策略
ARP攻击概述
ARP攻击是一种利用ARP协议漏洞,通过伪 造IP地址和MAC地址进行欺骗攻击的网络 攻击方式。
安全意识培训
对局域网内的用户进行安全意识培训,让他们了解ARP攻击的危害及如何预防。
论文局域网ARP欺骗攻击及安全防范策略
发送伪造的ARP报 文
攻击者通过发送伪造的ARP报文 ,将错误的MAC地址映射到正 确的IP地址上。
监听数据流
攻击者监听目标主机与其他主机 或网络之间的数据流,并获取敏 感信息。
实施攻击
攻击者可实施多种攻击手段,如 中间人攻击、会话劫持等。
03
局域网ARP欺骗攻击的防范措施
静态ARP防范措施
静态ARP绑定
实验环境及工具
01
网络拓扑
构建包括路由器、交换机、PC等设备的局域网环境。
02
硬件设备
高性能计算机、网络交换机、路由器等。
03
软件工具
snort、winshark、kali linux等抓包和分析工具。
实验过程及结果
实验设备连接
将路由器、交换机、PC等设备连接在一起,形成 一个完整的局域网络。
数据包捕获
提醒用户谨慎使用公共网络
用户在使用公共网络时需要谨慎,不轻易使用未知来源的WiFi,避免在网络中泄露个人信息。
加强安全审计
建立安全审计制度
建立完善的安全审计制度,对网络安全事件进行记录和分析,发现并防范潜 在的安全威胁。
定期审计网络设备和软件
定期审计网络设备和软件的安全性,发现并修复可能存在的安全漏洞。
ARP欺骗攻击是一种网络安全攻击 技术,攻击者通过发送伪造的ARP 报文,使局域网内的设备无法正确 地寻址,从而达到非法访问或篡改 数据的目的。
VS
ARP欺骗攻击主要利用了ARP协议 的安全漏洞,使得攻击者可以在网 络中伪装成合法设备,进而进行各 种恶意行为。
ARP欺骗攻击的危害
1 2
拒绝服务攻击
通过检测网络中的ARP报文,及时发现ARP欺骗攻击,并采取防范措施。
关于ARP攻击原理及解决
关于ARP攻击原理及解决1. 引言网络安全一直是互联网时代的热点话题,随着网络的普及和应用的广泛,网络攻击也变得日益严重。
其中,ARP攻击被认为是最常见和最具危害的攻击之一。
本文将介绍ARP攻击的原理和一些解决方法,帮助读者了解这种攻击并能够采取相应措施保护自己的网络安全。
2. ARP攻击原理ARP(Address Resolution Protocol)攻击利用了ARP协议的实现缺陷来进行攻击。
简单来说,ARP攻击本质上是通过篡改ARP缓存表中的ARP信息来实现欺骗的目的。
在正常情况下,主机A要和主机B进行通信时,会先在本地ARP缓存表中查找主机B的MAC地址。
如果没有找到,主机A将广播一个ARP请求,询问网络中是否有对应IP地址的主机,并等待主机B的回应。
主机B收到ARP请求后,会将自己的MAC地址告诉主机A,主机A收到主机B的响应后,将主机B的MAC地址写入ARP缓存表中,以便后续通信。
ARP攻击者利用这一过程的漏洞,发送伪造的ARP响应,欺骗主机A将攻击者的MAC地址与主机B的IP地址进行关联。
这样,主机A发送的数据包将被发送到攻击者那里,攻击者可以对数据包进行截获、篡改或伪造等操作。
3. ARP攻击的危害ARP攻击具有以下几个危害:3.1 中间人攻击通过ARP欺骗,攻击者可以截获用户和服务器之间的通信数据,对数据进行篡改甚至伪造。
这种中间人攻击可能导致用户的敏感信息泄露,如账号密码、银行卡信息等。
3.2 DoS攻击ARP攻击还可以用于实施拒绝服务(DoS)攻击。
攻击者可以通过发送大量的伪造ARP响应来干扰网络中的正常通信,甚至让目标主机无法上网。
3.3 会话劫持ARP攻击还可以用于会话劫持。
攻击者可以通过篡改网络中的ARP缓存表,将目标主机的IP地址与自己的MAC地址关联,从而截获目标主机的会话,窃取用户的敏感信息。
4. 解决ARP攻击的方法要解决ARP攻击,我们可以采取以下几种方法:4.1 静态ARP表静态ARP表是将本地网络中所有主机的IP地址与MAC地址手动关联起来,这样就可以避免ARP缓存表被篡改。
浅谈局域网ARP攻击的原理与预防方法
浅谈局域网ARP攻击的原理与预防方法摘要简要介绍ARP和局域网中ARP攻击原理和预防解决方法。
关键词 ARP 病毒预防在局域网中,使用ARP欺骗可以达到非法登录,阻塞网络,嗅探盗取机密等目的。
这种攻击大多数是由黑客或病毒引起并在没有安装有效防护的机器上传播。
要想防止APP的攻击,首先要了解什么是ARP。
一、ARP的概念ARP(Address Resolution Protocol),即地址解析协议。
它工作在数据链路层,在本层和硬件接口联系,同时对上层提供服务。
在局域网中,ip数据包常通过以太网发送,以太网设备并不识别32位ip地址,它们是以48位以太网地址传输以太网数据包。
因此,一个主机要和另一个主机进行直接通信,必须要知道目标主机的MAC地址。
“地址解析”就是主机在发送数据前将目标IP地址转换成目标MAC地址的过程。
ARP协议靠维持在内存中保存的一张表来使ip得以在网络上被目标机器应答,以保证通信的进行,通常是动态的转换表。
该对应ARP表会被主机在需要的时候刷新。
通常主机在发送一个ip包之前,要到该转换表中寻找和IP包对应的mac地址。
如果没有找到,该主机就发送一个ARP广播包如下:“我是主机xxx.xxx.xxx.xxx,mac是xxxxxxxxxxx,ip为xxx.xxx.xxx.xxl的主机请告之你的mac”。
ip为xxx.xxx.xxx.xxl的主机响应这个广播,应答ARP广播为“我是xxx.xxx.xxx.xxl,我的mac为xxxxxxxxxx2”于是,主机刷新自己的ARP缓存,然后发出该ip包。
二、ARP的攻击原理基于ARP协议的这一工作特性,黑客或病毒程序向对方计算机不断发送有欺诈性质的ARP数据包,数据包内包含有与当前设备重复的Mac地址,使对方在回应报文时,由于简单的地址重复错误而导致不能进行正常的网络通信。
常见的ARP攻击为两种类型:ARP扫描和ARP欺骗。
通常受到ARP攻击的计算机会出现两种现象:1.不断弹出“本机的XXX段硬件地址与网络中的XXX段地址冲突”的对话框。
arp攻击原理
arp攻击原理ARP攻击是一种利用ARP协议的安全漏洞来进行的网络攻击。
ARP(Address Resolution Protocol)是一种用于将IP地址解析成对应MAC地址的协议,它在局域网中常用来进行网络通信。
攻击者利用ARP攻击的原理是通过发送伪造的ARP响应包来欺骗目标主机,使其将发送到指定IP地址的数据包发送到攻击者所指定的MAC地址上。
这样,攻击者就能够截获目标主机的通信数据,甚至修改或插入自己的数据进去。
具体来说,ARP攻击一般分为以下步骤:1. 攻击者在局域网中监听目标主机的ARP请求。
ARP请求是主机在需要与另一台主机通信时发送的请求,用于获取目标主机的MAC地址。
2. 攻击者接收到目标主机发送的ARP请求后,会伪造一个ARP响应包发送给目标主机。
这个ARP响应包中包含了伪造的MAC地址,将欺骗目标主机认为这个MAC地址是正确的。
3. 目标主机收到伪造的ARP响应包后,会将其存储在ARP缓存表中。
ARP缓存表是由主机维护的用于存储IP地址与对应MAC地址的映射关系的表。
4. 当目标主机想要发送数据包时,会查找ARP缓存表获取目标IP地址对应的MAC地址。
由于攻击者伪造的ARP响应包中的MAC地址已经被存储在ARP缓存表中,目标主机会将数据包发送到攻击者的MAC地址上。
5. 攻击者收到目标主机发送的数据包后,可以进行各种操作,例如嗅探数据包内容、篡改数据包内容等。
值得注意的是,ARP攻击主要针对局域网内的通信,因为ARP协议只在局域网中起作用。
此外,为了防止ARP攻击,可以采取一些防范措施,例如使用静态ARP表、使用ARP防火墙等。
浅析ARP病毒的攻击原理
Ke y wo r d s :AR P v i us r ; A t t a c k s ; Ne t w o r k
、
随着计算机技术的普及 ,计算 机网络技术得到 了迅猛的发展 , A R P协议只使用本网络内部 。 局域 网在企事业单位 、 学校等都得到 了广泛的应用 。 近来 , 我校有许 2 Al i p病毒原理介绍 多通过局 域网上 网的用 户反映 ,他们在 上网时经常莫 名其妙地 掉 2 . 1 交换 网络 的嗅探 线, 重新连接 网络又恢复正常 , 然后又会频 繁掉线 , 并且 网速也特别 假设有三台主机 A , B , C位于同一个交换式局域网中 ,监 听者 主 慢。经过检查 , 发现个别计算机 中了 A R P木 马病毒 , 查杀后 网络恢 机为 A, 而主机 B、 c正在进行 通信 。A希 望能 嗅探到 B与 C之间的 复正常 。下边我就从 A R P协议 出发 , 详细论述一下 A R P病毒 的攻 通信数据 ,于是 A就 可以伪装成 C对 B做 A R P欺骗 , 向 B发送伪 击原理。 造的A R P应答包 , 在这个伪造 的应答包 中, I P地址 为 C的 I P地址 , 1 A iP协 议 分 析 l 而 MA C地 址 为 A 的 MA C地 址 。 B在接 收到 这 个 应 答 包 后 ,会 刷 A R P协议也就是地址解析协议( A d d r e s s R e s o l u t i o n P r o t o c o 1 ) , 它 新它 的 A R P缓存 ,这样在 B的 A R P缓存表 中就 出现了 C的 I P地 的作 用就是将计算 机的 网络地址 ( I P地址 3 2位)转化 为物理地址 址对应的是 A的 MA C地址 。说详细点 , 就是让 B认 为 C的 I P地址 f M AC地址 4 8位) 。 A R P协议 是属于链路层 的协议 , 以太 网中一 台计 映射到 的 M A C地址为 主机 A的 M A C地址 。 这样 , B想要 发送给 算机要访 问网内的另一 台计算机 ,是根据 4 8位的物理地址( MA C ) C的数据实 际上却发送 给了 A, 这样就达到 了嗅探 的 目的。黑客就 来确定接 口, 而不 是根 据 3 2位 的 I P地址 。所 以要 访问一台 网络上 可以利用这种手段盗取网络上 的重要信息。 的计算机 , 就必须知道它的物理地址 。 2 . 2 I P地 址 冲 突 下面 , 我们就从数据在 网络上 的传输过 程出发 , 来解 释 AR P协 当网络 内部有计算机 中了 A R P病 毒, 网络内其他计算机就会经 议 的工作原理 。我们就 以 P I N G命令 为例 , 数 据是如何从一 台计 算 常弹出 I P地址 冲突的警告。这 是怎么产生的呢? 机传输到另一 台计算机的。 比如某 主机 B规定 I P地址 为 1 9 2 . 1 6 8 . 1 . 1 8 , 如果它处 于开机 状 假 设 A计 算 机 I P地 址 是 1 9 2 . 1 6 8 . 1 . 8 ,执 行 命 令 : p i n g 态 ,那 么其他 主机 D也把它 的 I P地址改为 1 9 2 . 1 6 8 . 1 . 1 8就会造 成 P地址冲突 。其原 理就是 : 主机 D在连接网络( 或更 改 P I 地址) 的时 1 9 2 . 1 6 8 . 1 . 1 8 , 该命令 会通过 C I M P协议 ( 网络管理协议 ) 发送 C I M P I 数据包。该过程需要经过下面的步骤 : 候它就会 向网络内部发送 A R P广播 包 ,告诉 其他计算机 自己的 P I a . 源主机应用程序首先生成 C I M P 数据包 , 并提交给内核( 网络 地址 。如果 网络 内部存在相 同 I P地 址的主机 B ,那么 B就会通 过 驱动程序) 。 A R P来作 出应答 , 当 D接 收到这个应答 数据包后 , D就会跳 出 I P地 b . 源主机内核检查本地 的 A R P缓存 表 , 看 1 9 2 . 1 6 8 . 1 . 1 8在缓存 址 冲突的警告 ,B也会弹 出 I P地址冲突警告 。 表中是否能查到。 因此用 A R P欺 骗可以来伪造这个 A R P R e p l y , 使 目标 主机一直 c . 如果存 在该 I P — MA C对应关 系, 那 么跳到步骤 7 , 把数 据包直 受到 I P地址冲突警告 的困扰 。 接发送 出去。如果不存在该 I P — M AC对应关 系 , 那么接续下 面的步 2 . 3阻止 目标的数据包通 过网关 骤; 比如在一个 局域网内通过网关上网 , 那么局域 网内部的计算机 d .内 核 发 布 A R P广 播 , 目的 地 的 M AC 地 址 是 上 的 A R P缓 存 中就 存在 网关 I P — M A C对 应记 录 。如果 该记 录被 F F — F F — F F — F F — F F — F F , A R P命令类 型为 R E Q U E S T ( I ) 其 中包 含有 自 A R P病毒更改 , 那么该计算机 向外发送的数据包就会发送到 了错误 己的 M AC地 址 ; 的网关硬件地址上 , 这样 , 该计算机 就无法上网了。 e .当 1 9 2 . 1 6 8 . 1 . 1 8主机接收 到该 A R P请 求后 , 就发送 一个 A R P 结 束语 的R E P Y L ( 2 ) 命 令, 其 中包含 自己的 MA C地址 ; 其他 主机 由于 I P地 从 以上 的分 析我们 知道了 , A R P协议是我们进行网络通信时必 址 不对 , 不会应答 。 须的协议 , 没有它我们无法进行计 算机问的相互通信 , 但是有些 别 £ 源主 机 收到 目标 主机 的应答 数 据包 后 ,获得 目标 主机 的 有用 心的人恰恰是利用 了这 个协议 , 来攻 击我们 的系统 , 盗取我 们 I P ~ M AC地址对应关系 , 并保存到 A R P缓存表 中; 的重要信息。知道了其原理 , 我们就会有更好 的办法来 防范和清 除 g . 内核将把 I P转化为 MA C地址 , 然后封装在 以太网数据报 头 该病毒 , 使得我们 的网络更加安全。 结构 中, 再把数据发送 出去 ; 参 考 文 献 使用 a r p — a 命令就 可以查看本地的 A R P缓存 内容 , 每执行一个 【 1 1 金 红旭. 谈局域 网中 A R P病毒 防治『 J 1 _ 电子世界, 2 0 1 3 ( 7 ) : 1 3 6 . 本地的 P I N G命令 , A R P缓存就会保存一个 目标主机的 I P记录。当 [ 2 】 于 夫. A R P病毒在局 域 网中的防治研 究『 J 1 . 网络安全技 术与应 用, 然, 如果数据包是 发送到不 同网段 目标主机 , 那么就会存 在一条 网 2 0 1 4 ( 6 ) : 1 7 3 . 关的 I P — MA C地 址 对 应 的记 录 。 【 3 1 庄春兴 , 彭 奇志. 关于窃听与反 窃听技 术的分析 . 小型微型计 算 从 前边 的分 析我们知道 ,数据包 的向外传输必须要 依靠 A R P 机 系统, 2 0 0 3 , 2 4 ( 3 ) : 6 0 9 — 6 1 1 . 协 议 ,如果没有 A R P协议 ,我们 就无法把 I P地址转换为 MA C地 [ 4 】 邹 季刚. A R P病毒 防治 浅谈 『 J J . 中国水运 : 理 论版, 2 0 0 7 , 5 ( 7 ) . : 1 4 5 — ��
ARP论文局域网论文
ARP论文局域网论文摘要:本文首先对arp协议进行了介绍,分析了产生arp 攻击的原因,描述了网络遭受到arp攻击之后的表现,最后给出了主动防御和被动防御两种安全解决方案。
关键词:arp;局域网;攻击positioning and prevention of arp attackhe jiadong1,yang ming2,liu xin2(1.8630 troops networkcenter,tianjin300250,china;itary medical college network informationcenter,tianjin300162,china)abstract:this paper first introduces the arp protocol,analyzes the reasons for producing arp attacks,describing the network's performance suffered after the arp attack.finally,the active defense and passive defense two security solutions given.keywords:arp;lan;attack一、概述在网络世界中,mac地址的获取过程是一个动态的解析的过程。
在这个过程之中通过arp地址解析协议将ip地址与网卡mac地址进行映射。
arp攻击就是利用arp地址解析过程的漏洞对局域网用户进行攻击,使受害者获得错误的ip-mac映射关系,导致受害者与错误的主机进行通讯。
利用arp攻击,攻击者可以实现欺骗攻击、交换环境嗅探、mac地址表溢出以及拒绝服务攻击。
因此,arp攻击对局域网存在着巨大的威胁。
二、arp攻击arp(address resolution protocol,地址解析协议)是一个位于tcp/ip协议栈中的底层协议,负责将某个ip地址解析成对应的mac地址。
ARP攻击原理与防御措施
ARP攻击原理与防御措施ARP攻击(Address Resolution Protocol Attack)是一种利用ARP协议的安全漏洞进行的网络攻击。
ARP协议是用于将网络层IP地址转换为物理网络层地址的协议。
攻击者利用ARP攻击可以欺骗网络设备,使其将数据发送到错误的目标地址,从而实现中间人攻击、数据包窃听和数据篡改等恶意行为。
本文将介绍ARP攻击的原理,并提出一些用于防御ARP攻击的措施。
ARP攻击的原理:ARP攻击的基本原理是攻击者发送伪造的ARP响应包或ARP请求包,来欺骗网络中其他设备。
攻击者可以修改自己的ARP表以伪装成其他设备,或者伪造其他设备的ARP表来将流量转发到攻击者的设备上。
攻击者可以使用这种方法篡改数据包、截获敏感信息以及中断网络连接等。
防御ARP攻击的措施:1. 使用静态ARP表:静态ARP表是一种手动配置的ARP表,可以限制ARP请求和响应报文的转发。
在静态ARP表中,管理员能够明确指定每个IP地址所对应的物理地址,从而减少ARP假冒的风险。
使用静态ARP表也会增加网络管理的复杂性和维护成本。
2. 使用ARP防火墙:ARP防火墙是可与网络交换机配合使用的安全设备,可以监控网络中的ARP流量,并根据预设的规则对可疑的ARP流量进行阻止。
ARP防火墙能够检测并阻止伪造的ARP请求和响应报文,从而有效防御ARP攻击。
3. 使用ARP协议的安全扩展:一些网络设备厂商在ARP协议上进行了安全扩展,例如ARP Spoofing Detection(防ARP欺骗)和Dynamic ARP Inspection(动态ARP检测)等技术。
这些技术能够检测并阻止ARP攻击,确保网络通信的安全性。
4. 加强网络设备的访问控制:管理员可以通过限制网络设备的物理访问,增加对网络设备的保护。
限制交换机接口的物理访问,对网络设备的访问进行身份验证等,可以减少ARP攻击的风险。
5. 使用加密技术:通过使用加密技术,可以防止网络中的数据被攻击者截获和篡改。
- 1、下载文档前请自行甄别文档内容的完整性,平台不提供额外的编辑、内容补充、找答案等附加服务。
- 2、"仅部分预览"的文档,不可在线预览部分如存在完整性等问题,可反馈申请退款(可完整预览的文档不适用该条件!)。
- 3、如文档侵犯您的权益,请联系客服反馈,我们会尽快为您处理(人工客服工作时间:9:00-18:30)。
ARP论文ARP攻击的原理论文摘要:arp是address resolution protocol(地址转换协议)的简称,是tcp/ip协议中最底层的协议之一。
它的作用是完成ip地址到mac(物理地址)的转换。
在局域网中两台计算机之间的通讯,或者局域网中的计算机将ip数据报转发给网关的时候,网卡都需要知道目标计算机的物理地址,以填充物理帧中的目的地址。
arp欺骗和攻击正是利用了这一点,将自身的mac地址填入正常的arp协议会话中,从而达到欺骗和攻击的目的。
通过将ip地址和mac地址进行静态绑定可以有效防范arp攻击。
关键词:arp;攻击;原理;防护arp attacks and protection principlesyan an(tianjin construction information technology service center, tianjin 300000, china)abstract: arp is the address resolution protocol (arp) is referred to, is the tcp / ip protocol in the bottom of one of the agreements. its role is to complete the ip address to mac (physical address) of the conversion. in the lan communication between two computers, or lan computer ip datagrams forwarded tothe gateway when the card needs to know the physical address of the target computer, the physical frame to fill the destination address. arp spoofing and attacks took advantage of this point; it will fill its own mac address of a normal arp protocol session, so as to achieve the purpose of deception and attack. by ip address and mac address static binding can effectively prevent the arp attacks.key words: arp; attack; principle; protection近几年互联网上网络技术论坛上经常讨论所谓arp病毒的问题,这实际上并不准确,严谨地表述是应该是arp攻击或arp欺骗,arp攻击并不是病毒,因而几乎所有的杀毒软件对之都无可奈何,但它却胜似病毒——因为它轻可造成通讯变慢、网络瘫痪,重则可造成敏感重要信息泄漏,给用户造成重大的损失。
多年来,arp攻击一直存在,却没有一个好的解决办法,本文试图从分析arp协议和欺骗原理入手,介绍如何防范和解决arp攻击。
1 arp的概念和工作原理要了解arp的工作原理,我们首先来了解一下arp协议。
在以太网中,数据包被发送出去之前,首先要进行数据包拆分(即把大的包分组)、封装(即在网络层添加源主机和目标主机的ip地址,再在数据链路层添加源mac地址和下一跳的mac地址),将数据包转换成比特流最后通过物理层设备进行传输。
数据包到达目标设备或主机后再执行与发送方相反的过程,即把比特流转变成帧,解封装(即数据链路层首先比较目标的mac地址与本机的mac地址是否相同,如果相同则将帧头去除后将数据包向上传送给网络层,否则将此帧丢弃)。
如果发送方与接收方处于同一个网络中,则下一跳的mac地址就是目标的mac地址,如果发送方和接收方不在同一个网络内,则下一跳的mac地址就是网关(在局域网内一般是路由器)的mac地址。
通过这个过程我们不难发现,在以太网中数据的传输仅知道目标的ip地址是不够的,还需要知道下一跳的mac地址,这个在网络通讯中至关重要的地址转换或者说地址解析就是由arp协议来完成的。
arp协议其实是“address resolution protocol”,即地址解析协议的缩写,所谓“地址解析”就是指主机在网络中传送数据帧前先将目标主机的ip地址转换成目标主机(或网关)的mac地址的过程。
那么,arp协议是如何具体完成这个转换工作的呢?原来,每台安装有tcp/ip协议的主机都维护一个自己的arp 缓存表,这个表里的mac地址与ip地址是一一对应的。
主机在传送数据前就是通过查找这个二维表里的数据找到目标设备的mac地址,从而进行数据传输的。
在这里我们以pc1向pc2传输数据为例讲解一下这个过程(本文所有示例都假设所有设备在同一网段内)。
假设 pc1的ip地址为172.16.0.1, mac地址为00-00-00-00-00-00,pc2的ip地址为172.168.0.2, mac地址为11-11-11-11-11-11。
当pc1要向pc2传送数据时,pc1首先会在自己的arp缓存表中查找表中是否有pc2的ip地址。
如果表中存在pc2的ip地址,也就知道了pc2的mac地址,那么就直接把找到的pc2的mac 地址写入帧里面传送出去就可以了;如果把arp缓存表整个查找一遍,没有查到pc2的ip地址,pc1就没有办法了,只能对外寻求帮助,这时它会在网络上发出一个广播包,整个网段都将接收到这条广播信息,这条广播信息的目标mac地址是“ff.ff.ff.ff.ff.ff”,也就是二进制的48个1,这表示向这个网段中的所有主机提出这样的问题:“172.16.0.2在不在呀?如果听到请把你的mac地址告诉我!” ,同一网段上的其它主机并不理睬这个询问,只有pc2听到这个广播询问时,马上就会向pc1做出这样的回应:“172.16.0.2就是我,我的的mac地址是11-11-11-11-11-11”。
这样,pc1就知道pc2的mac地址了,它也就可以向pc2发送信息了。
同时pc1还更新了自己的arp缓存表,这样下次当pc1再向pc2传送信息时,就可以直接从自己的arp缓存表中查找到pc2的mac地址了。
另外,为了节约查表时间和节省内存空间,arp缓存表还采用了定时删除机制,即在一段时间内如果表中的某一行没有被查到,则过一段时间后这一行就会自动被删除,这样就可以最大限度减少arp缓存表的长度,从而加快查询速度。
2 arp欺骗的原理但是问题出现了,虽然我们一般认为arp协议在发送arp 请求后才会等候发回的arp应答,但实际上主机却时刻都在侦听由网络传来的arp应答而不会检查这个arp应答是不是发给自己的。
当主机接收到arp应答数据包的时候,就会立刻对本机的arp缓存进行更新,将应答数据包中的ip地址和mac地址存放在arp缓存中。
因此当有人发出一个自己故意伪造的arp应答数据包,网络可能就会出现一些问题。
为了说明这个问题,我们再举一个例子,假设在一个网段中有三台计算机,分别为pc1、pc2和pc3,三台设备的详细信息为:pc1:ip地址:172.16.0.1 mac地址: 00-00-00-00-00-00pc2:ip地址:172.16.0.2 mac地址: 11-11-11-11-11-11pc3:ip地址:172.16.0.3 mac地址: 22-22-22-22-22-22 在正常情况下pc1和pc2之间可以直接进行通信,但是此时pc2却向pc1传送一个arp应答,而这个arp应答是经过pc2伪造的,这个应答中发送方的ip地址是172.16.0.3(即pc3的ip地址),mac地址是11-11-11-11-11-11,注意这里pc3的mac地址本来应该是33-33-33-33-33-33,这里经过伪造了。
当pc1接收到经pc2伪造的arp应答数据包后,就会立刻更新自己的arp缓存表,这样对pc1来讲pc2就伪装成pc3了。
同时,pc2也会向pc3发出一个类似的arp 应答,在这个应答包中发送方的ip地址被写成172.16.0.1,即pc1的ip地址,而mac地址被写成是11-11-11-11-11-11,即pc2自己的mac地址。
这样当pc3收到经pc2伪造的arp 应答数据包时,也会立刻更新自己的arp缓存表,这样对pc3来讲pc2就伪装成pc1了,也就是pc3也被pc2欺骗了。
这样pc2就成功地欺骗了pc1和pc3,pc1和pc3之间所有的对话都将被pc2所截获,pc2完全可以知道他们之间说的是什么。
这个过程就是典型的arp欺骗过程。
注意:在一般情况下,arp欺骗的某一方应该往往都是网关。
arp欺骗一般分为两种情况:一种是欺骗主机作为中间机,它通过arp欺骗将被欺骗主机的数据经它进出中转一番,这样欺骗主机就可以窃取到被它欺骗的主机之间的所有通信数据;另一种是使被欺骗主机直接断网,即对被欺骗主机进行arp攻击。
3 常用的防护方法安装arp防火墙是一个不错的选择(有的杀毒软件也内置此功能),除此之外,最常用也是最有效的防范手段就是对mac地址和ip地址进行静态绑定,在网内把网关和所有主机都做进行mac地址和ip地址的绑定。
因为arp欺骗是通过arp的实时动态规则对目标主机进行欺骗,因此我们把arp表中的全部条目设置为静态绑定就可以有效地防范arp 欺骗,但注意一定同时要在网关也进行mac地址和ip地址的静态绑定,这样双向绑定才能起到效果。
具体方法为:在windows命令窗口输入命令arp –s ip mac地址。
这里的-s就是表示静态绑定的参数。
例如:“arp –s 172.16.0.1 00-00-00-00-00-00”,这条命令的意思就是将mac地址00-00-00-00-00-00静态绑定在ip地址172.16.0.1上,而不是通过网络上接收到的arp 应答包进行动态更新,这样就不会被更改,也不会被定时删除。
那么,如何知道命令是否执行成功呢,执行完上面这条命令后,可以紧接着执行arp -a ,如果看到这样的提示:internet address physical address type192.168.10.1aa-aa-aa-aa-aa-aa static(静态) ,就说明已经成功地进行了arp绑定。
该方法可非常有效地防范arp攻击和欺骗,缺点是具体实施的难度比较大,如果上网主机比较多,网管员的负担会非常大,维护起来非常不方便,而且太多的绑定条目也会影响主机的速度和执行效率。