ARP欺骗原理分析与攻防实战演练
实验I ARP攻击的攻击方法、攻击原理、判断、解决和防范
实验I ARP攻击的攻、判、防ARP攻击不是病毒——几乎所有的杀毒软件对之都无可奈何;但却胜似病毒——因它轻可造成通信变慢、网络瘫痪,重会造成信息的泄密。
多年来,ARP攻击一直存在,却没有一个好的解决办法。
很多网络用户深受其害,网管人员更是无从下手、苦不堪言。
本实验从分析ARP协议和欺骗原理入手,告诉读者如何实施ARP攻击,如何判断正在遭受ARP 攻击,如何防范和解决ARP攻击。
1. ARP协议及欺骗原理(1)以太网的工作原理。
以太网中,数据包被发送出去之前,首先要进行拆分(把大的包进行分组)、封装(在Network层添加源IP地址和目标的IP地址,在Data Link层添加源MAC地址和下一跳的MAC地址),变成二进制的比特流,整个过程如图I-1所示。
数据包到达目标后再执行与发送方相反的过程,把二进制的比特流转变成帧,解封装(Data Link层首先比较目标的MAC是否与本机网卡的MAC相同或者是广播MAC,如相同则去除帧头,再把数据包传给Network层,否则丢弃;Network层比较目的地IP地址是否与本机相同,相同则继续处理,否则丢弃)。
如果发送方和接收方位于同一个网络内,则下一跳的MAC就是目标的MAC,如发送方和接收方不在同一个网络内,则下一跳的MAC就是网关的MAC。
从这个过程不难发现,以太网中数据的传速仅知道目标的IP地址是不够的,还需要知道下一跳的MAC地址,这需要借助于另外一下协议,ARP(地址解析协议)。
图I-1 数据的封装和解封装(2)ARP的工作原理。
计算机发送封装数据之前,对比目标IP地址,判断源和目标在不在同一个网段,如在同一网段,则封装目标的MAC;如不在同一网段,则封装网关的MAC。
封装之前,查看本机的ARP缓存,看有没有下一跳对应的IP和MAC映射条目,如有,则直接封装;如没有,则发送ARP查询包。
ARP查询和应答包的格式如图I-2所示,查询包中:“以太网目的地址”为0xffffffffffff广播地址,“以太网源地址”为本机网卡的MAC地址,“帧类型”为0x0806表示ARP应答或请求,“硬件类型”为0x0001表示以太网地址,“协议类型”为0x0800表示IP地址,“OP”为ARP的请求或应答,ARP请求包的OP值为1,ARP应答包的OP值为2,“发送端以太网地址”为发送者的MAC地址,“发送端IP”为发送者的IP地址,“目的以太网地址”这里为0x000000000000,“目的IP”为查询MAC地址的IP。
ARP欺骗攻击及其防御
1. 2. 3. 4. ARP定义 ARP攻击的原理 ARP攻击实例 ARP攻击的防范措施
ARP的定义
• ARP是地址转换协议的英文缩写,用于将计算机的网络地 址(32位的IP地址)转化为物理地址(48位的MAC地址) 属于链路层协议
而ARP攻击就是指黑客利用ARP协议缺陷 的基本原理,通过在区域内一台终端或服 务器上发布欺骗ARP广播包以达到进行盗 取用户帐号、篡改网站内容、嵌入恶意代 码、发布不良信息、监听传输数据等非法 活动的目的。
否
发广播包B 的MAC是 多少 C回答MAC CCCCCC
是
读取 ARP缓 存表
更 新 A 的 ARP缓存表
连接B
错误连接 CCCCCC
ARP攻击实例
• 系统环境:两台同一局域网的电脑 攻击电 脑使用工具Arp cheat and sniffer v2.1 并安 装WinPcap_4_1_2 (要做嗅探就要安装这 个软件) • 目标IP 10.132.245.72 网关 10.132.245.254 端口80
正常ARP查询流程
A连接B
ARP欺骗流程
A 连 接 B
需要知道 B 的的ARP 缓存表是 否有B的 MAC 是 读取ARP缓 存表
否
发广播包B 的MAC是 多少 B回答MAC bbbbb b 更 新 A 的 ARP缓存表
A的 ARP 缓存表是 否有B的 MAC
ARP欺骗攻击原理
• 每台主机的ARP表的更新是信任广播域内 所有机器的应答包,也就是在说在ARP协 议中,接受回应帧的主机无法验证应答包 的真伪。而是直接用应答包里的MAC地址 与IP地址替换掉ARP缓存表中原有的相应 信息 • 由于ARP 缓存表项是动态更新的,其生命 周期默认是两分钟 • 所以很容易进行欺骗的。
ARP欺骗原理分析与攻防实战演练PPT课件
目录
ARP欺骗的危害 什么是ARP协议 ARP欺骗的原理 ARP攻防实战 ARP安全防范
第1页
ARP欺骗的危害
ARP欺骗可以造成内部网络的混乱,让某些被欺骗的计算机无法正常 访问内外网,让网关无法和客户端正常通信。实际上他的危害还不仅 仅如此,一般来说IP地址的冲突我们可以通过多种方法和手段来避免, 而ARP协议工作在更低层,隐蔽性更高。系统并不会判断ARP缓存的 正确与否,无法像IP地址冲突那样给出提示。而且很多黑客工具例如 网络剪刀手等,可以随时发送ARP欺骗数据包和ARP恢复数据包,这 样就可以实现在一台普通计算机上通过发送ARP数据包的方法来控制 网络中任何一台计算机的上网与否,甚至还可以直接对网关进行攻击, 让所有连接网络的计算机都无法正常上网。这点在以前是不可能的, 因为普通计算机没有管理权限来控制网关,而现在却成为可能,所以 说ARP欺骗的危害是巨大的,而且非常难对付,非法用户和恶意用户 可以随时发送ARP欺骗和恢复数据包,这样就增加了网络管理员查找 真凶的难度。那么难道就没有办法来阻止ARP欺骗问题的发生吗?
arp欺骗攻击的原理
arp欺骗攻击的原理ARP欺骗攻击的原理ARP(Address Resolution Protocol)是一种用于将IP地址转换为MAC地址的协议。
在网络通信中,每个主机都有一个唯一的MAC地址和IP地址,主机之间通过MAC地址进行通信。
而ARP协议就是用来获取目标主机的MAC地址的。
ARP欺骗攻击就是指攻击者通过伪造ARP响应包,向网络中的其他主机发送虚假信息,从而使得攻击者可以截获网络数据包并进行监听、篡改等恶意行为。
下面将详细介绍ARP欺骗攻击的原理。
第一部分: ARP协议基础知识1. ARP协议工作原理当一个主机需要向另一个主机发送数据时,首先需要知道目标主机的MAC地址,这时候就会使用ARP协议来获取目标主机的MAC地址。
具体流程如下:1) 主机A发送一个ARP请求包,在请求包中包含了目标IP地址;2) 网络中所有其他主机都会接收到这个请求包;3) 目标主机B收到该请求包后,会向A发送一个ARP响应包,在响应包中携带自己的MAC地址;4) 主机A收到响应包后,就可以知道目标B的MAC地址了,并将此信息保存在本地ARP缓存中。
这样,当主机A需要向主机B发送数据时,就可以直接使用目标B的MAC地址进行通信了。
2. ARP欺骗攻击原理ARP欺骗攻击者通过伪造ARP响应包,向网络中的其他主机发送虚假信息,从而使得攻击者可以截获网络数据包并进行监听、篡改等恶意行为。
具体步骤如下:1) 攻击者首先要获取目标主机的IP地址和MAC地址;2) 攻击者伪造一个ARP响应包,将自己的MAC地址伪装成目标主机的MAC地址,并将自己的IP地址与目标主机的IP地址对应;3) 网络中其他主机收到该ARP响应包后,会将攻击者的MAC地址保存在本地ARP缓存中,并将其作为目标主机的MAC地址进行通信;4) 攻击者就可以截获网络数据包,并进行监听、篡改等恶意行为。
第二部分: ARP欺骗攻击实例分析下面以实例来分析一下ARP欺骗攻击是如何实现的。
简述arp欺骗攻击的原理和防范对策
简述arp欺骗攻击的原理和防范对策ARP(Address Resolution Protocol)欺骗攻击是一种网络攻击技术,它利用ARP协议的特性进行欺骗、中间人攻击或局域网内的ARP 缓存中毒。
攻击者发送虚假的ARP响应消息来欺骗其他网络设备,使其将流量发送给攻击者,从而实现对网络通信的窃听、修改或阻断。
ARP协议是将IP地址映射到物理MAC地址的协议,通过向局域网中广播ARP请求,获取目标IP地址对应的MAC地址。
正常情况下,ARP请求是一个广播消息,网络上所有的设备都能收到该消息并回应自己的MAC地址。
然而,攻击者可以发送伪造的ARP响应消息,将自己的MAC地址伪装成目标的MAC地址。
这样,其他网络设备在收到欺骗者的ARP响应后,会将网络流量发送到欺骗者的MAC地址,从而攻击者就可以进行中间人攻击。
ARP欺骗攻击的原理主要包括以下几个步骤:广播欺骗请求、单播响应欺骗响应、IP间隔设备攻击、流量截获及篡改。
防范ARP欺骗攻击需要采取多层次的安全措施,包括物理层安全、网络设备安全和安全策略的制定。
一、物理层安全防范1.硬件设备安全:保证网络设备的物理安全,避免被攻击者直接接触或篡改网络设备。
2.网线加密:使用数字加密技术或物理加密设备,对通信网络中的网线进行加密处理,避免ARP欺骗攻击者通过在网线上截获数据。
3. MAC地址绑定:通过网络硬件设备的管理接口,将MAC地址与设备绑定,限制非法设备访问网络,避免ARP欺骗攻击者伪造MAC地址来进行攻击。
二、网络设备防范1.安全认证机制:为网络设备设置访问口令或使用其他身份验证方法,只允许授权设备进行网络操作,避免非法设备接入网络。
2. MAC地址过滤:设置ACL(Access Control List)策略,限制网络中不合法的MAC地址出现,只允许合法设备进行通信。
3. ARP缓存绑定:为网络设备的ARP缓存表添加绑定条目,将IP 地址与MAC地址进行绑定,确保只有指定的MAC地址可以响应对应的IP地址。
ARP欺骗攻击原理及防御策略
ARP欺骗攻击原理及防御策略ARP(Address Resolution Protocol)欺骗攻击是一种利用ARP协议漏洞来冒充网络中台设备的MAC地址的攻击方式。
攻击者通过发送伪造的ARP响应包,将目标设备的IP地址与攻击者的MAC地址进行绑定,从而达到攻击的目的。
攻击原理:ARP协议是用于将IP地址解析为MAC地址的协议,其工作原理为:当主机A需要与主机B通信时,会先检查自己的ARP缓存表,查看是否有主机B的IP地址对应的MAC地址,若有,则直接发送数据包给主机B;若没有,则通过广播ARP请求包的方式询问网络中其他主机,寻找主机B 的MAC地址。
主机B收到ARP请求包后,会返回一个包含其IP地址和MAC地址的ARP响应包,主机A会将主机B的IP地址与MAC地址绑定,然后发送数据包给主机B。
ARP欺骗攻击利用了这个过程中的不安全性,攻击者可以发送伪造的ARP响应包来伪装自己的MAC地址,将目标设备的IP地址与自己的MAC 地址进行绑定,从而实现攻击。
攻击者可以在中间人位置上监视、修改或阻断通信流量,从而进行各种攻击,如中间人攻击、数据篡改、数据丢失等。
防御策略:为了防止ARP欺骗攻击,可以采取以下一些策略:1.静态ARP绑定:将网络中的设备的IP地址与MAC地址进行手动绑定,使得ARP欺骗攻击者无法通过发送伪造的ARP响应包来进行攻击。
这种方法适用于小型局域网,但对于大型网络来说管理起来不太方便。
2. ARP检测工具:使用ARP检测工具可以实时监测网络中的ARP请求和响应包,检测是否存在伪造的ARP包,及时发现潜在的ARP欺骗攻击。
常用的ARP检测工具包括Arpwatch、Cain & Abel等。
3.使用静态路由表:在网络设备上手动配置静态路由表,指定目标设备的MAC地址,避免使用ARP协议来解析MAC地址。
静态路由表可以防止ARP欺骗攻击者修改路由信息,而无需依赖ARP协议来解析MAC地址。
高手教你辨别ARP欺骗原理及防范被骗
高手教你辨别ARP欺骗原理及防范被骗经常听到身边的朋友说,自己电脑的网络又被啥啥攻击了,经常有一些不道德的人用ARP欺骗软件攻击别人,让很多人掉线,甚至让整个网络都瘫痪。
针对这个问题,我们首先先来了解下它的攻击原理及欺骗原理,深受其害的朋友们赶紧来看看。
一,ARP欺骗的原理如下:假设这样一个网络,一个Hub接了3台机器HostA HostB HostC 其中A的地址为:IP:192.168.10.1 MAC: AA-AA-AA-AA-AA-AAB的地址为:IP:192.168.10.2 MAC: BB-BB-BB-BB-BB-BBC的地址为:IP:192.168.10.3 MAC: CC-CC-CC-CC-CC-CC正常情况下C:\arp -aInterface: 192.168.10.1 on Interface 0x1000003Internet Address Physical Address Type192.168.10.3 CC-CC-CC-CC-CC-CC dynamic现在假设HostB开始了罪恶的ARP欺骗:B向A发送一个自己伪造的ARP应答,而这个应答中的数据为发送方IP地址是192.168.10.3(C的IP地址),MAC地址是DD-DD-DD-DD-DD-DD(C的MAC地址本来应该是CC-CC-CC-CC-CC-CC,这里被伪造了)。
当A接收到B伪造的ARP应答,就会更新本地的ARP 缓存(A可不知道被伪造了)。
而且A不知道其实是从B发送过来的,A这里只有192.168.10.3(C的IP地址)和无效的DD-DD-DD-DD-DD-DD mac地址,没有和犯罪分子B相关的证据,哈哈,这样犯罪分子岂不乐死了。
现在A机器的ARP缓存更新了:C:\arp -aInterface: 192.168.10.1 on Interface 0x1000003Internet Address Physical Address Type192.168.10.3 DD-DD-DD-DD-DD-DD dynamic这可不是小事。
ARP欺骗攻击分析及防范措施
ARP欺骗攻击分析及防范措施ARP欺骗攻击(Address Resolution Protocol Spoofing Attack),也称为ARP缓存中毒攻击,是一种常见的网络攻击手段。
攻击者通过伪造ARP响应报文,将目标主机的IP地址与自己的MAC地址进行绑定,从而达到劫持网络流量、盗取敏感信息或进行中间人攻击等恶意目的。
本文将对ARP欺骗攻击进行分析,并提出相应的防范措施。
一、攻击原理分析1.ARP协议简介ARP(Address Resolution Protocol)是将IP地址与MAC地址进行匹配的协议,通过在局域网中的广播方式,发送ARP请求报文,等待目标主机响应,以获取目标主机的MAC地址。
目标主机接收到ARP请求后,会将自己的MAC地址发送给请求方,请求方在收到响应后将目标主机的IP地址与MAC地址进行绑定,并将其存储在自己的ARP缓存表中。
2.攻击原理在ARP欺骗攻击中,攻击者通过发送伪造的ARP响应报文,将目标主机的IP地址与自己的MAC地址进行绑定。
当目标主机收到该伪造的ARP响应报文后,会将攻击者的MAC地址存储到自己的ARP缓存表中。
然后,当其他主机需要与目标主机进行通信时,会将数据包发送给攻击者的MAC地址,攻击者可以拦截和篡改这些数据包,导致网络流量被劫持。
二、攻击过程分析1.发送ARP请求攻击者首先发送ARP请求报文,向网络中的所有主机请求目标主机的MAC地址。
这是一个广播的过程,所有主机都会收到该ARP请求报文。
2.伪造ARP响应目标主机收到ARP请求后,会根据请求方的IP地址将自己的MAC地址发送给请求方。
攻击者利用这个过程,伪造一个ARP响应报文,并将报文中的目标IP地址设为请求主机的IP地址,源MAC地址设为自己的MAC 地址。
3.欺骗目标主机目标主机收到伪造的ARP响应报文后,会将其中的目标IP地址与MA 地址进行绑定,并将其存储在ARP缓存表中。
此时,目标主机认为攻击者的MAC地址就是目标主机的MAC地址。
- 1、下载文档前请自行甄别文档内容的完整性,平台不提供额外的编辑、内容补充、找答案等附加服务。
- 2、"仅部分预览"的文档,不可在线预览部分如存在完整性等问题,可反馈申请退款(可完整预览的文档不适用该条件!)。
- 3、如文档侵犯您的权益,请联系客服反馈,我们会尽快为您处理(人工客服工作时间:9:00-18:30)。
第二步:正常情况下在A计算机上运行ARP -A查询ARP缓存表应该出现如下信息。
Hale Waihona Puke Interface: 192.168.1.1 on Interface 0x1000003 Internet Address Physical Address Type 192.168.1.3 CC-CC-CC-CC-CC-CC dynamic
目录
ARP欺骗的危害 什么是ARP协议 ARP欺骗的原理 ARP攻防实战 ARP安全防范
第 1 页
ARP欺骗的危害
ARP欺骗可以造成内部网络的混乱,让某些被欺骗的计算机无法正常 访问内外网,让网关无法和客户端正常通信。实际上他的危害还不仅 仅如此,一般来说IP地址的冲突我们可以通过多种方法和手段来避免, 而ARP协议工作在更低层,隐蔽性更高。系统并不会判断ARP缓存的 正确与否,无法像IP地址冲突那样给出提示。而且很多黑客工具例如 网络剪刀手等,可以随时发送ARP欺骗数据包和ARP恢复数据包,这 样就可以实现在一台普通计算机上通过发送ARP数据包的方法来控制 网络中任何一台计算机的上网与否,甚至还可以直接对网关进行攻击, 让所有连接网络的计算机都无法正常上网。这点在以前是不可能的, 因为普通计算机没有管理权限来控制网关,而现在却成为可能,所以 说ARP欺骗的危害是巨大的,而且非常难对付,非法用户和恶意用户 可以随时发送ARP欺骗和恢复数据包,这样就增加了网络管理员查找 真凶的难度。那么难道就没有办法来阻止ARP欺骗问题的发生吗?
第 7 页
第四步:欺骗完毕我们在A计算机上运行 ARP -A来查询ARP缓存信息。你会发现原 来正确的信息现在已经出现了错误。
Interface: 192.168.1.1 on Interface 0x1000003 Internet Address Physical Address Type 192.168.1.3 DD-DD-DD-DD-DD-DD dynamic
第 6 页
第三步:在计算机B上运行ARP欺骗程序,来发 送ARP欺骗包。
B向A发送一个自己伪造的ARP应答,而这个应答 中的数据为发送方IP地址是192.168.1.3(C的IP 地址),MAC地址是DD-DD-DD-DD-DD-DD(C 的MAC地址本来应该是CC-CC-CC-CC-CC-CC, 这里被伪造了)。当A接收到B伪造的ARP应答, 就会更新本地的ARP缓存(A可不知道被伪造 了)。而且A不知道其实是从B发送过来的,A这 里只有192.168.1.3(C的IP地址)和无效的DDDD-DD-DD-DD-DD mac地址。
*总结:ARP欺骗是把自己的MAC地址伪造成网关 的地址来欺骗其它的主机
第 4 页
第一步:假设这样一个网络,一个Hub或交换机 连接了3台机器,依次是计算机A,B,C。 A的地址为:IP:192.168.1.1 MAC: AA-AA-AAAA-AA-AA B的地址为:IP:192.168.1.2 MAC: BB-BB-BBBB-BB-BB C的地址为:IP:192.168.1.3 MAC: CC-CC-CCCC-CC-CC
第 8 页
从上面的介绍我们可以清楚的明白原来网络中传输数据包最后都是要 根据MAC地址信息的,也就是说虽然我们日常通讯都是通过IP地址, 但是最后还是需要通过ARP协议进行地址转换,将IP地址变为MAC地 址。而上面例子中在计算机A上的关于计算机C的MAC地址已经错误 了,所以即使以后从A计算机访问C计算机这个192.168.1.3这个地址 也会被ARP协议错误的解析成MAC地址为DD-DD-DD-DD-DD-DD的。 问题也会随着ARP欺骗包针对网关而变本加厉,当局域网中一台机器, 反复向其他机器,特别是向网关,发送这样无效假冒的ARP应答信息 包时,严重的网络堵塞就会开始。由于网关MAC地址错误,所以从网 络中计算机发来的数据无法正常发到网关,自然无法正常上网。这就 造成了无法访问外网的问题,另外由于很多时候网关还控制着我们的 局域网LAN上网,所以这时我们的LAN访问也就出现问题了。
第 9 页
ARP攻防实战
arp攻击测试软件演试(T去内网机器) 聚生网管控制内网流量
第 10 页
ARP安全防范
查找本网段的网关地址,比如192.168.1.1,以下以此网关为例。在正常上网时, “开始→运行→cmd→确定”,输入:arp -a,点回车,查看网关对应的Physical Address。 比如:网关192.168.1.1 对应00-01-02-03-04-05。 步骤二: 编写一个批处理文件best.bat,内容如下: @echo off arp -d arp -s 192.168.0.115 00-16-36-f7-bd-5e 保存为:best.bat。 步骤三: 运行批处理文件将这个批处理文件拖到“Windows→开始→程序→启动”中,如果需 要立即生效,请运行此文件。 gpedit.msc_________________________
第 3 页
ARP欺骗的原理
首先我们可以肯定一点的就是发送ARP欺骗包是 通过一个恶毒的程序自动发送的,正常的TCP/IP 网络是不会有这样的错误包发送的,而人工发送 又比较麻烦。也就是说当黑客没有运行这个恶毒 程序的话,网络上通信应该是一切正常的,保留 在各个连接网络计算机上的ARP缓存表也应该是 正确的,只有程序启动开始发送错误ARP信息以 及ARP欺骗包时才会让某些计算机访问网络出现 问题。接下来我们来阐述下ARP欺骗的原理.
第 2 页
什么是ARP协议
ARP协议是“Address Resolution Protocol”(地址解析协议)的缩 写。在局域网中,网络中实际传输的是“帧”,帧里面是有目标主 机的MAC地址的。在以太网中,一个主机要和另一个主机进行直 接通信,必须要知道目标主机的MAC地址。但这个目标MAC地址 是如何获得的呢?它就是通过地址解析协议获得的。所谓“地址解 析”就是主机在发送帧前将目标IP地址转换成目标MAC地址的过程。 ARP协议的基本功能就是通过目标设备的IP地址,查询目标设备的 MAC地址,以保证通信的顺利进行。所以说从某种意义上讲ARP 协议是工作在更低于IP协议的协议层。这也是为什么ARP欺骗更能 够让人在神不知鬼不觉的情况下出现网络故障,他的危害更加隐蔽。