什么是ARP欺骗?
今天我主要想和大家一起了解一下什么是ARP欺騙?下面來看我慢慢解釋~
一.ARP欺騙的概念
ARP欺騙(ARP spoofing),又稱ARP毒化(ARP poisoning,網絡上多譯為ARP病毒)或ARP攻擊,是針對以太網地址解析協議(ARP)的一種攻擊技術,通過欺騙局域網內訪問者PC的網關MAC地址,使訪問者PC錯以為攻擊者更改后的MAC地址是網關的MAC,導致網絡不通。此種攻擊可讓攻擊者獲取局域網上的數據包甚至可篡改數據包,且可讓網絡上特定計算機或所有計算機無法正常連線。
二.ARP欺騙的運作原理
1.由攻擊者發送假的ARP數據包到網上,尤其是送到網關上。其目的是要讓送至特定的IP地址的流量被錯誤送到攻擊者所取代的地方。因此攻擊者可將這些流量另行轉送到真正的網關(被動式數據包嗅探,passive sniffing)或是篡改后再轉送(中間人攻擊,man-in-the-middle attack)。攻擊者亦可將ARP數據包導到不存在的MAC地址以達到阻斷服務攻擊的效果
2.簡單案例分析:
這里用一個最簡單的案例來說明ARP欺騙的核心步驟。假設在一個LAN里,只有三臺主機A、B、C,且C是攻擊者。
攻擊者聆聽局域網上的MAC地址。它只要收到兩臺主機洪泛的ARP Request,就可以進行欺騙活動。
主機A、B都洪泛了ARP Request.攻擊者現在有了兩臺主機的IP、MAC地址,開始攻擊。
攻擊者發送一個ARP Reply給主機B,把此包protocol header里的sender IP設為A的IP地址,sender mac設為攻擊者自己的MAC地址。
主機B收到ARP Reply后,更新它的ARP表,把主機A的MAC地址(IP_A, MAC_A)改為(IP_A, MAC_C)。
當主機B要發送數據包給主機A時,它根據ARP表來封裝數據包的Link報頭,把目的MAC地址設為MAC_C,而非MAC_A。
當交換機收到B發送給A的數據包時,根據此包的目的MAC地址(MAC_C)而把數據包轉發給攻擊者C。
攻擊者收到數據包后,可以把它存起來后再發送給A,達到偷聽效果。攻擊者也可以篡改數據后才發送數據包給A,造成傷害。
三、ARP欺騙的危害
1、ARP(地址解析協議)是以廣播的方式發送ARP請求的,只要是同一個網段內的主機都可以接收到,這就讓攻擊者有了可乘之機。攻擊者可以發送大量的“ARP請求包”,阻塞正常的網絡帶寬,使局域網中有限的網絡資源,被這些無用的廣播信息所占用,造成網絡擁堵。
2、ARP(地址解析協議)沒有安全認證機制,局域網內的所有主機是建立在互相信任的基礎上的,攻擊者可以發送錯誤的“IP地址/MAC地址”的映射關系。只要攻擊者持續不斷地發出偽造的“ARP請求包”,就能更改目標主機“本地ARP緩存表”中的IP地址/MAC地址條目,造成網絡中斷或者中間人攻擊。
四、 ARP欺騙的防御措施
1. 不要把網絡安全信任關系,單純地建立在IP基礎上或MAC基礎上,理想的關系應該建立在“IP + MAC”基礎上。
2.設置添加靜態的“ARP映射表”,不要讓主機刷新設定好的“ARP映射表”。
3. 除非很有必要,否則停止使用ARP(地址解析協議),將ARP(地址解析協議)作為永久條目保存在“ARP映射表”中。
4.使用ARP服務器,通過該服務器查找自己的“ARP映射表”,以此來響應其他機器的ARP請求廣播,并確保這臺ARP服務器不被黑。
5.IP的傳輸,使用“proxy”代理。
6. 使用硬件屏蔽主機,設置好路由,確保IP地址能到達合法的路徑(靜態配置路由ARP條目)。
7. 使用防火墻連續監控網絡。注意有使用SNMP(簡單網絡管理協議)的情況下,ARP欺騙有可能導致陷阱包丟失。
8.若感染ARP病毒,可以通過“清空ARP緩存、指定ARP對應關系、添加路由信息、使用防病毒軟件”等方式解決。
總結
- 上一篇: 关于2017届学长制作分享软件share
- 下一篇: 退役博主诈尸