ARP攻击的分析与防范
宽带网络中的ARP投攻击如何防范
宽带网络中的ARP投攻击如何防范在宽带网络中,ARP(地址解析协议)投攻击是一种常见的攻击方式,其目的是通过篡改ARP缓存表来干扰网络通信。
本文将介绍ARP投攻击的原理以及防范措施。
一、ARP投攻击的原理ARP协议用于将IP地址转换为物理MAC地址,以实现数据在局域网内的传输。
在ARP攻击中,攻击者发送伪造的ARP响应报文,以欺骗其他设备。
具体来说,攻击者发送ARP Reply报文,将自己伪装成目标设备的MAC地址,在其他设备的ARP缓存表中插入虚假的映射关系。
这样一来,当数据包要发送给目标设备时,会被发送到攻击者的设备上,从而劫持网络通信。
二、防范ARP投攻击的措施1. 使用静态ARP表静态ARP表是手动配置的ARP映射表,其中包含了已知设备的IP地址和MAC地址。
通过配置静态ARP表,可以防止ARP请求被劫持,提高网络安全性。
2. 使用ARP缓存绑定ARP缓存绑定是指将指定IP地址与指定MAC地址进行绑定,防止其他设备对该IP地址进行ARP欺骗。
管理员可以通过配置交换机或路由器来实现ARP缓存绑定。
3. 使用ARP SnoopingARP Snooping是一种网络设备的功能,可以检测并记录网络上的ARP请求和响应报文。
通过监控ARP报文的发送和接收情况,可以及时发现ARP投攻击,并采取相应的防御措施。
4. 使用网络级防火墙网络级防火墙可以对进出网络的数据包进行过滤和检查,可以根据设备的MAC地址、IP地址和端口号等信息来防止ARP攻击。
管理员可以根据具体情况配置网络级防火墙的规则。
5. 用户教育与安全意识培训除了技术手段外,用户教育和安全意识培训也非常重要。
用户应该了解ARP投攻击的原理和危害,并学会识别可能存在的ARP攻击。
同时,应加强对密码和网络访问权限的管理,定期更改密码,避免被攻击者利用。
总结:在宽带网络中,ARP投攻击是一种常见的攻击方式,对网络通信带来了严重威胁。
为了防范ARP投攻击,可以采取静态ARP表、ARP 缓存绑定、ARP Snooping、网络级防火墙等技术手段。
ARP攻击防范与解决方案
ARP攻击防范与解决方案1. ARP攻击概述ARP(地址解析协议)是一种用于将IP地址映射到物理MAC地址的协议。
ARP攻击是指攻击者通过伪造或者篡改ARP数据包来欺骗网络中的主机,从而实现中间人攻击、拒绝服务攻击等恶意行为。
在ARP攻击中,攻击者通常会发送虚假的ARP响应,将合法主机的IP地址与自己的MAC地址进行绑定,导致网络中的通信被重定向到攻击者控制的主机上。
2. ARP攻击的危害ARP攻击可能导致以下危害:- 信息窃听:攻击者可以在通信过程中窃取敏感信息,如账号密码、银行卡信息等。
- 中间人攻击:攻击者可以篡改通信内容,更改数据包中的信息,甚至插入恶意代码。
- 拒绝服务攻击:攻击者可以通过ARP攻击使网络中的主机无法正常通信,导致网络服务不可用。
3. ARP攻击防范与解决方案为了有效防范和解决ARP攻击,可以采取以下措施:3.1 加强网络安全意识提高网络用户的安全意识,加强对ARP攻击的认识和理解。
教育用户不要随意点击来自未知来源的链接,不要打开可疑的附件,以及不要轻易泄露个人信息。
3.2 使用静态ARP绑定静态ARP绑定是一种将IP地址与MAC地址进行手动绑定的方法,可以有效防止ARP欺骗攻击。
在网络设备中配置静态ARP绑定表,将合法主机的IP地址与相应的MAC地址进行绑定,使得ARP响应包不会被攻击者篡改。
3.3 使用ARP防火墙ARP防火墙可以检测和阻挠ARP攻击,通过监控网络中的ARP流量并对异常流量进行过滤,实现对ARP攻击的防范。
ARP防火墙可以根据预设的策略,对ARP响应包进行检查和过滤,防止虚假的ARP响应被接受。
3.4 使用网络入侵检测系统(IDS)或者入侵谨防系统(IPS)IDS和IPS可以监测和谨防网络中的入侵行为,包括ARP攻击。
IDS可以实时监测网络中的ARP流量,发现异常的ARP请求和响应,并及时发出警报。
IPS可以根据事先设定的规则,对检测到的ARP攻击进行自动谨防,如封锁攻击者的IP 地址。
ARP攻击防范与解决方案
ARP攻击防范与解决方案ARP(Address Resolution Protocol)攻击是一种常见的网络安全威胁,黑客通过ARP欺骗技术,伪造网络设备的MAC地址,从而实施网络攻击,如中间人攻击、会话劫持等。
为了保护网络安全,我们需要采取一系列的防范措施和解决方案来应对ARP攻击。
1. 防范措施:1.1 使用静态ARP表:静态ARP表是一种手动配置的ARP表,将网络设备的IP地址和MAC地址进行绑定。
这样,即使黑客发起ARP欺骗攻击,也无法修改设备的ARP表,从而有效防止ARP攻击。
1.2 使用ARP防火墙:ARP防火墙可以监控网络中的ARP请求和响应,检测和阻止异常的ARP流量。
它可以根据事先设定的策略,过滤和阻断潜在的ARP攻击。
1.3 使用网络入侵检测系统(NIDS):NIDS可以监测网络中的异常流量和攻击行为,包括ARP攻击。
当NIDS检测到ARP攻击时,可以及时发出警报并采取相应的防御措施。
1.4 使用网络隔离技术:将网络划分为多个虚拟局域网(VLAN),并使用网络隔离技术将不同的用户和设备隔离开来。
这样,即使发生ARP攻击,黑客也无法直接访问其他网络。
2. 解决方案:2.1 实施ARP监控和检测:通过实时监控和检测ARP请求和响应,可以及时发现和识别ARP攻击行为。
可以使用专门的ARP监控工具或网络安全设备来实现。
2.2 使用加密通信:通过使用加密协议和加密算法,可以保护通信过程中的ARP请求和响应,防止黑客窃取或篡改网络设备的MAC地址。
2.3 定期更新网络设备的固件和软件:网络设备厂商会不断修复和更新设备的漏洞和安全问题。
定期更新网络设备的固件和软件,可以及时修复已知的ARP攻击漏洞。
2.4 加强员工的网络安全意识教育:通过加强员工的网络安全意识教育,提高他们对网络攻击的认识和防范能力,减少因员工的疏忽而导致的ARP攻击。
2.5 使用网络流量分析工具:网络流量分析工具可以帮助识别异常的ARP流量和攻击行为。
ARP攻击防范与解决方案
ARP攻击防范与解决方案ARP(Address Resolution Protocol)攻击是一种常见的网络攻击手段,攻击者通过伪造ARP响应包,将目标主机的IP地址与自己的MAC地址进行绑定,从而实现中间人攻击、数据篡改等恶意行为。
为了保障网络安全,我们需要了解ARP 攻击的原理和防范方法。
一、ARP攻击原理1.1 ARP攻击原理:攻击者发送伪造的ARP响应包,欺骗目标主机将攻击者的MAC地址与目标主机的IP地址进行绑定。
1.2 中间人攻击:攻击者获取目标主机的通信数据,进行篡改或窃取敏感信息。
1.3 数据劫持:攻击者截取目标主机的通信数据,对数据进行篡改或篡改。
二、ARP攻击的危害2.1 窃取敏感信息:攻击者可以窃取目标主机的敏感信息,如账号密码、银行卡信息等。
2.2 数据篡改:攻击者可以篡改目标主机的通信数据,导致数据不一致或损坏。
2.3 网络拒绝服务:攻击者可以通过ARP攻击导致网络拥堵,影响网络正常运行。
三、ARP攻击防范方法3.1 ARP缓存监控:定期监控网络设备的ARP缓存表,及时发现异常ARP绑定。
3.2 静态ARP绑定:在网络设备上设置静态ARP绑定表,限制ARP响应包的发送。
3.3 ARP防火墙:使用ARP防火墙软件,对网络中的ARP流量进行监控和过滤。
四、ARP攻击解决方案4.1 使用ARP检测工具:如ARPWatch、ArpON等工具,检测网络中的ARP 攻击行为。
4.2 网络隔离:将网络划分为多个子网,减少ARP攻击的影响范围。
4.3 加密通信:使用加密通信协议,保护通信数据的安全性。
五、总结5.1 ARP攻击是一种常见的网络攻击手段,对网络安全造成严重威胁。
5.2 了解ARP攻击的原理和危害,采取相应的防范措施是保障网络安全的重要举措。
5.3 通过监控ARP缓存、设置静态ARP绑定、使用ARP防火墙等方法,可以有效防范和解决ARP攻击。
ARP攻击防范与解决方案
ARP攻击防范与解决方案简介:ARP(Address Resolution Protocol)攻击是一种常见的网络安全威胁,攻击者通过伪造ARP响应包来欺骗网络设备,从而篡改网络流量的目的地址。
这种攻击可以导致网络中断、信息泄露和数据篡改等严重后果。
为了保护网络安全,我们需要采取一些防范措施和解决方案来避免ARP攻击的发生。
一、防范措施:1. 安全网络设计:合理规划网络拓扑结构,采用分段设计,将重要的服务器和关键设备放置在内部网络,与外部网络隔离。
2. 强化网络设备安全:对路由器、交换机等网络设备进行定期升级和漏洞修复,禁用不必要的服务和端口,启用访问控制列表(ACL)限制不必要的流量。
3. 使用网络设备认证机制:启用设备认证功能,只允许授权设备加入网络,防止未经授权的设备进行ARP攻击。
4. 配置静态ARP表项:将重要设备的IP地址和MAC地址进行绑定,限制ARP请求和响应的范围,减少ARP攻击的可能性。
5. 使用防火墙:配置防火墙规则,限制网络流量,过滤异常ARP请求,阻挠ARP攻击的传播。
6. 监控和检测:部署网络入侵检测系统(IDS)和入侵谨防系统(IPS),实时监控网络流量,及时发现并阻挠ARP攻击。
二、解决方案:1. ARP缓存监控和清除:定期监控网络设备的ARP缓存,发现异常的ARP缓存项,及时清除并重新学习正确的ARP信息。
2. 使用ARP欺骗检测工具:部署ARP欺骗检测工具,实时监测网络中的ARP 请求和响应,发现异常的ARP流量,并采取相应的谨防措施。
3. 使用ARP谨防软件:部署专门的ARP谨防软件,通过对ARP流量进行深度分析和识别,及时发现和阻挠ARP攻击。
4. VLAN隔离:使用VLAN技术将网络划分为多个虚拟局域网,限制不同VLAN之间的通信,减少ARP攻击的影响范围。
5. 加密通信:使用加密协议(如SSL、IPSec)对网络通信进行加密,防止ARP攻击者窃取敏感信息。
ARP攻击原理简析及防御措施
ARP攻击原理简析及防御措施网络欺骗攻击作为一种非常专业化的攻击手段,给网络安全管理者,带来严峻的考验。
网络安全的战场已经从互联网蔓延到用户内部的网络,特别是局域网。
目前利用ARP欺骗的木马病毒在局域网中广泛传播,导致网络随机掉线甚至整体瘫痪,通讯被窃听,信息被篡改等严重后果。
0x1 简介网络欺骗攻击作为一种非常专业化的攻击手段,给网络安全管理者,带来严峻的考验。
网络安全的战场已经从互联网蔓延到用户内部的网络,特别是局域网。
目前利用ARP欺骗的木马病毒在局域网中广泛传播,导致网络随机掉线甚至整体瘫痪,通讯被窃听,信息被篡改等严重后果。
0x2 ARP协议概述ARP协议(address resolution protocol)地址解析协议一台主机和另一台主机通信,要知道目标的IP地址,但是在局域网中传输数据的网卡却不能直接识别IP地址,所以用ARP解析协议将IP地址解析成MAC 地址。
ARP协议的基本功能就是通过目标设备的IP地址,来查询目标设备的mac地址。
在局域网的任意一台主机中,都有一个ARP缓存表,里面保存本机已知的此局域网中各主机和路由器的IP地址和MAC地址的对照关系。
ARP缓存表的生命周期是有时限的(一般不超过20分钟)。
举个例子:假设局域网中有四台主机主机A想和主机B通信主机A会先查询自己的ARP缓存表里有没有B的联系方式,有的话,就将mac-b 地址封装到数据包外面,发送出去。
没有的话,A会向全网络发送一个ARP广播包,大声询问:我的IP地址是192.168.0.2,硬件地址是mac-a,我想知道IP地址是192.168.0.3的硬件地址是多少?此时,局域网内所有主机都收到了,B收到后会单独私密回应:我是192.168.0.3,我的硬件地址是mac-b,其他主机不会理A的此时A知道了B的信息,同时也会动态的更新自身的缓存表0x3 ARP协议的缺陷ARP协议是建立在信任局域网内所有节点的基础上的,他的效率很高。
ARP攻击防范与解决方案
ARP攻击防范与解决方案一、背景介绍ARP(地址解析协议)攻击是一种常见的网络安全威胁,攻击者利用ARP协议的漏洞,通过伪造或篡改ARP数据包,来欺骗网络中的主机,从而实施网络攻击。
ARP攻击可能导致网络中断、信息泄露、数据篡改等安全问题。
为了保护网络的安全性,需要采取一系列的防范与解决方案。
二、ARP攻击的类型1. ARP欺骗攻击:攻击者发送虚假ARP响应包,将自己的MAC地址伪装成目标主机的MAC地址,从而使网络中的其他主机将数据发送给攻击者,实现信息窃取或中间人攻击。
2. ARP洪泛攻击:攻击者发送大量的虚假ARP请求包,使网络中的主机被迫处理大量的ARP请求,导致网络拥堵,甚至瘫痪。
3. ARP缓存中毒攻击:攻击者通过发送大量的虚假ARP响应包,将合法主机的IP地址与虚假的MAC地址绑定,使得合法主机无法正常通信。
三、防范与解决方案1. 使用静态ARP表:将网络中的主机的IP地址与MAC地址手动绑定,避免使用ARP协议进行动态解析,有效防止ARP欺骗攻击。
2. 启用ARP监控机制:通过网络设备的ARP监控功能,实时检测网络中的ARP请求和响应包,及时发现异常情况,并采取相应的防护措施。
3. 使用ARP防火墙:配置ARP防火墙规则,限制网络中的ARP请求和响应包的发送和接收,阻止异常ARP流量的传播,提高网络的安全性。
4. 使用网络流量监测工具:通过监测网络流量,及时发现大量的ARP请求和响应包,识别可能存在的ARP洪泛攻击,并采取相应的防护措施。
5. 加密通信:使用加密协议(如SSL/TLS)进行网络通信,防止敏感信息在传输过程中被窃取或篡改。
6. 定期更新网络设备的固件和软件:及时安装厂商发布的安全补丁,修复可能存在的ARP漏洞,提高网络设备的安全性。
7. 培训员工:加强网络安全意识培训,教育员工识别和应对ARP攻击,避免因员工的疏忽或错误而导致网络安全事故的发生。
四、结论ARP攻击是一种常见的网络安全威胁,对网络的安全性造成潜在威胁。
arp攻击防范措施
ARP攻击防范措施介绍ARP(Address Resolution Protocol)是计算机网络中一种用于将IP地址解析为MAC地址的协议。
然而,由于其工作方式的缺陷,使得ARP协议容易受到黑客的攻击,例如ARP欺骗攻击。
本文将深入探讨ARP攻击的原理、危害以及防范措施,帮助读者了解如何保护自己的网络安全。
ARP攻击的原理1. ARP协议工作原理ARP协议用于将IP地址解析为对应的MAC地址,以便在局域网中进行通信。
当主机A想要向主机B通信时,它会首先检查自己的ARP缓存中是否有主机B的MAC地址。
如果没有,则主机A会发送一个ARP请求广播,询问局域网中是否有主机B,并将自己的MAC地址广播出去。
主机B收到广播后,会回复自己的MAC地址给主机A,建立起通信连接。
2. ARP攻击原理ARP攻击者利用ARP协议的工作原理,欺骗网络中的其他主机,使它们将数据发送到攻击者所控制的主机上,从而截取、篡改或丢弃通信数据。
ARP攻击方式有以下几种: - ARP欺骗攻击:攻击者发送伪造的ARP响应包,将自己的MAC地址伪装成目标主机的MAC地址,使其他主机将通信数据发送到攻击者的主机上。
- 反向ARP攻击:攻击者发送伪造的ARP请求包,将目标主机的IP地址与自己的MAC地址绑定,使目标主机将自己的通信数据发送给攻击者。
ARP攻击的危害ARP攻击能够导致如下危害: 1. 篡改数据:攻击者可以截获通信数据,并对数据进行篡改,致使被攻击主机收到伪造的数据,可能导致信息泄露或系统崩溃。
2. 监听通信:攻击者可以通过ARP攻击截获数据包并进行监听,获取敏感信息,如账户密码、聊天记录等。
3. 拒绝服务:ARP攻击者可以发送持续不断的伪造ARP包,导致网络中的主机无法正常通信,造成网络拥堵。
ARP攻击防范措施为了防范ARP攻击,我们可以采取如下措施: ### 1. 使用静态ARP绑定将网络中所有主机的IP地址与其对应的MAC地址进行绑定,使ARP表中的条目固定不变。
- 1、下载文档前请自行甄别文档内容的完整性,平台不提供额外的编辑、内容补充、找答案等附加服务。
- 2、"仅部分预览"的文档,不可在线预览部分如存在完整性等问题,可反馈申请退款(可完整预览的文档不适用该条件!)。
- 3、如文档侵犯您的权益,请联系客服反馈,我们会尽快为您处理(人工客服工作时间:9:00-18:30)。
开发与应用 计算机与信息技术 ·7·ARP 攻击的分析与防范吴勇 李祥(贵州大学 计算机软件与理论研究所,贵州 贵阳 550025)摘 要 介绍了ARP协议工作原理,分析了ARP协议的弱点,阐述了基于ARP进行网络攻击的主要方式,并给出了应对措施。
提出构造ARP应答包进行ARP欺骗的具体方法。
关键词 ARP协议;ARP欺骗;ICMP重定位;静态ARP表;地址解析;libnet1 引言网络上的计算机之间是通过IP地址通信的,但是IP地址是位于网络层的逻辑地址,计算机之间要想真的进行数据交换必须知道它的物理地址,ARP就是将逻辑地址转换成物理地址的一个协议。
因此ARP的协议的安全就显的非常重要。
现在对ARP攻击最常用的一种方式就是ARP欺骗,在这种攻击方式下,攻击方可以通过伪造ARP请求与应答更新目标主机的ARP缓存从而骗过目标机。
使目标机的数据包发给攻击者。
攻击者就可以对截获的数据包的内容进行分析破解目标机的信息。
2 ARP 协议计算机之间主要是通过IP地址通信,IP地址是一个逻辑地址,通过IP地址就可以找到目标网络,但是在一个网络内部的计算机之间进行最终的数据交换时就必须经过物理MAC地址才能识别具体的一台主机,这时我们就需要ARP协议把需要通信的目标主机的IP地址解析为与之对应的硬件物理地址。
2.1 ARP 协议的基本工作原理一台连入互连网的计算机拥有两个地址。
一个是IP地址,它是一个网络层使用的协议并且独立于网络底层。
每一台在互联网上的计算机都必须有一个惟一IP地址。
IP地址是一个可以通过软件设置的逻辑地址。
另一个地址是网卡地址MAC 地址。
MAC地址是一个固定在网卡中的全球独一无二的地址。
通过MAC地址,以太网就能独立于上层协议收发数据。
当两台主机进行通信时,IP数据被封装成以太帧格式的一个个的数据包,这些数据包通过数据链路层进行传送,ARP消息就被封装在以太帧的数据部分。
每一台基于TCP/IP协议的主机都有一个ARP缓存表。
里面包括硬件类型,硬件地址长度,操作号,源IP地址与MAC地址,目的IP地址与MAC地址。
如果一台主机甲要与另一台主机乙进行数据通信,且它们位于一个网段时,它们之间的具体通信过程如下:甲查看自己的ARP缓存表,寻找乙机器的相关信息,如果找到的话,就使用表中与乙的IP地址对应的MAC地址来通信;若查找失败,就会向局域网中发送一个以太网的广播帧,往帧中填充甲主机的IP地址和MAC地址,乙主机的IP地址等字段形成一个ARP请求。
此时此网段内的所有机器都会收到此请求,但只有乙主机收到后发现此请求中有自己的IP地址从而作出响应。
它先刷新自己的ARP缓存,以便提高以后的通信效率,而后生成一个ARP应答帧将自己的MAC地址填充进去发送给甲主机。
甲收到后将乙的ARP信息写入自己的ARP缓存中。
若不在同一网段,此过程分为两个阶段,第一阶段甲会广播一个ARP请求来得到本地网关的MAC地址,然后将数据发送到网关。
再判断网关与乙是否在同一网段。
如果是就进入第二阶段查找IP/MAC,转发数据否则继续广播ARP请求。
(如图1) 当一台机器更换了新网卡后,就会通知网内其它主机,使之更新各自的ARP表项使IP地址和新的MAC地址保持一致。
因此每台机器在启动时都会发一个以太网广播帧通知其它主机及时更新ARP缓存。
第一阶段 第二阶段图1 不同网段的ARP攻击·8· 计算机与信息技术 开发与应用2.2 ARP协议的弱点由于ARP缓存表是动态刷新的。
根据RFC826规定当主机接收到ARP应答时,主机的ARP表会立刻刷新而无需判断是否事先发过ARP请求。
若主机长时间没有收到ARP应答(一般是20分钟)它会自动刷新ARP缓存表,这样可以删掉那些过期的,已经不存在的表项。
确保ARP缓存表的正确性。
但是这样很容易使主机的ARP缓存表被攻击者修改。
使主机的ARP 表项改成攻击者需要的表项。
3 ARP攻击ARP攻击主要是就基于ARP缓存表的的弱点,攻击者非法篡改目标机ARP缓存表,使目标主机无法正常工作的行为。
ARP攻击主要有拒绝服务攻击和ARP欺骗。
3.1 拒绝服务攻击攻击者可以很容易的将目标主机中IP地址对应的MAC地址改成根本不存在的地址,这样计算机就会往这个根本不存在的地址发送数据包,导致目标机无法接收到数据包,中断了主机与外界网络的通信。
3.2 ARP欺骗3.2.1 中间人攻击这种攻击是网络监听的一种方式。
攻击者进入两台通信的计算机之间,通过某种手段窃取一台机器给另一台机器发送的数据包,然后将数据包修改再转发给另一台机器,攻击者对这两台计算机来说是透明的。
具体过程如下。
假设三台计算机A、B、C。
机器C修改A的ARP缓存表,将表中B的IP地址对应的MAC地址改成C的MAC地址。
当A给B发送数据时,就使用了B的IP地址与C的MAC地址。
使给B 发送的数据全部发给了C。
同理修改目标机B的ARP缓存表使A的IP地址对应的MAC地址改成C的MAC地址。
最终A与B之间通信的数据就全部经过C,之后C又把数据发给A和B。
3.2.2 克隆攻击克隆攻击是另外一种ARP欺骗的方式。
现在我们已经可以通过硬件或软件工具来修改网络接口的MAC地址,Linux 用户甚至只需要用ifconfig命令修改一个参数就能修改。
攻击者通过拒绝服务攻击使目标主机与外界失去联系,然后攻击者将自己的IP和MAC地址改成目标机的IP和MAC地址,这样攻击者的主机就成为和目标机一样的副本。
4 ARP欺骗的防范措施4.1 MAC地址绑定MAC地址与交换机绑定。
一台高质量的交换机往往有一个功能就是不允许修改与交换机某个端口绑定的MAC地址。
当确实需要修改时,只能被网络管理者修改。
4.2 静态缓存表将ARP缓存表设置成静态,不允许其自动刷新。
网络管理员负责对网络上的每台机器进行登记,记录每台机器的IP/MAC。
这样在发送一个与ARP静态缓存不一致的请求时目标机将不予理睬。
但这种方法不适合于大型的网络,它需要定期维护ARP表,给管理员造成很大的负担。
4.3 RARPRARP即地址反转协议。
RARP协议用于知道一个MAC地址确定它的IP地址。
在一个网络内部,主机向网内的所有计算机发送一个RARP请求,这时若一个MAC地址收到多个IP 地址,就说明拥有该MAC地址的机器受到克隆攻击。
4.4 ARPWATCHARPWATCH 是一款用于查看IP地址与其对应的物理地址之间变化的软件。
在用户启动时,ARP就收集本地网络上所有机器的ARP包并生成一个数据库文件来存储MAC/IP。
当开始运行时就会开始监听网络,将捕获的数据包与数据库中的内容进行比较,如果不一样的话就会发出一份EMAL警告,同时记录现场用来帮助追踪追击者的来源。
因此当有一个ARP欺骗发生时,当攻击者试图修改ARP表时ARPWATCH就会发现,并记录下来并发E-mail通网络管理员使其采取相应措施。
5 利用Libnet开发包构造ARP欺骗应答数据包 5.1 ARP报文格式ARP的报文格式如图2所示。
硬件地址类型 协议地址类型硬件地址长度 逻辑地址长度 操作发送端硬件地址发送端硬件地址 发送端IP地址发送端IP地址 目标硬件地址目标硬件地址目标IP地址图2 ARP的报文格式图2中每行对应ARP消息32位。
前两个16位字段的值用于指定协议地址和硬件地址的类型。
例如,当ARP在以太网上时,硬件地址类型字段的值为1,当ARP用在IP地址上时,协议地址字段的值就为0X0800。
硬件地址长度和逻辑地址长度,用于指定硬件地址和协议地址中的字节数。
操作字段用于指定该消息是请求(值为1)消息还是应答(值为2)消息。
5.2 使用Libnet构造ARP应答数据包Libnet是一个专业网络数据包构造和开发包。
它是一个高层次的API函数库,允许开发者构造和发送网络数据包。
Libnet提供了一个对底层网络数据包进行构造,修改和发送的高级接口。
Libnet主要提供了在IP层和链路层构造网络数据包的功能和一些非常有用的辅助功能。
构造ARP数据包的步骤如下:(1)利用函数libnet_init()进行初始化操作。
因为ARP协议是在网络层,所以必须先构造ARP协议块,也就是用函数libnet_build_arp()来构造ARP协议块。
(2)利用函数libnet_autobuld_Ethernet() 或libnet_build_Ethernet() 来构造以太网协议块。
(3)利用libnet_write()发送数据包。
开发与应用 计算机与信息技术 ·9·构造ARP 数据包的流程如图3所示。
制作ARP 应答欺骗包。
其中目的IP 是210.40.7.183,源IP 是210.40.7.186,目的MAC 是主机210.40.7.183的MAC 地址00-1B-B9-7B-70-4C。
而源MAC 地址我们填充为210.40.7.181的MAC 地址00-1B-B9-79-E0-4C。
当我们发给主机210.40.7.186时它会认为这个包是210.40.7.183发的但其实是210.40.7.181发送的,这时210.40.7.181就可以监听210.40.7.183与210.40.7.186之间的通信。
其主要实现过程用C 语言描述如下:#include <win32/libnet.h>/*在 windows 平台下必须包含此文件,文件libnet.h 是Libnet 开发包的头文件*/ main() {int packet_size;libnet_ptag_t protocol_tag;char *destination_ip_str ="210.40.7.183"; /*目的IP 地址字符串变量*/char *source_ip_str = "210.40.7.186"; /*源IP 地址字符串变量*/ u_char hardware_source[6] = { 0x00,0x1B,0xB9,0X79,0xE0,0x4C }/*源MAC 地址*/u_char hardware_destination[6] = {0x00,0x1B,0xB9,0x7B,0x70,0x4C }/*目的MAC 地址*/destination_ip = libnet_name2addr4(l ,destination_ip_str ,LIBNET_RESOLVE); /* 把目的IP 地址字符串形式转化成网络顺序字节形式的数据 */source_ip = libnet_name2addr4(l ,source_ip_str ,LIBNET_RESOLVE); /* 把源IP 地址字符串形式转化成网络顺序字节形式的数据 *//*定义所需变量,主要有:packet_size,存放数据包长度的变量。