《2022年ARP攻击原理 .pdf》由会员分享,可在线阅读,更多相关《2022年ARP攻击原理 .pdf(3页珍藏版)》请在taowenge.com淘文阁网|工程机械CAD图纸|机械工程制图|CAD装配图下载|SolidWorks_CaTia_CAD_UG_PROE_设计图分享下载上搜索。
1、ARP攻击原理300713002717 我们大家都知道,在局域网中,一台主机要和另一台主机进行通信,必须要知道目标主机的IP 地址,但是最终负责在局域网中传送数据的网卡等物理设备是不识别IP 地址的,只能识别其硬件地址即MAC 地址。MAC 地址是48 位的,通常表示为 12个 16 进制数,每 2 个 16 进制数之间用“-”或者冒号隔开,如:00-0B-2F-13-1A-11就是一个MAC 地址。每一块网卡都有其全球唯一的MAC 地址,网卡之间发送数据,只能根据对方网卡的MAC 地址进行发送,这时就需要一个将高层数据包中的IP 地址转换成低层MAC 地址的协议,而这个重要的任务将由ARP
2、协议完成。ARP 全称为Address Resolution Protocol,地址解析协议。所谓“地址解析”就是主机在发送数据包前将目标主机IP 地址转换成目标主机MAC 地址的过程。ARP协议的基本功能就是通过目标设备的IP 地址,查询目标设备的MAC 地址,以保证通信的顺利进行。这时就涉及到一个问题,一个局域网中的电脑少则几台,多则上百台,这么多的电脑之间,如何能准确的记住对方电脑网卡的MAC 地址,以便数据的发送呢?这就涉及到了另外一个概念,ARP 缓 存表。在局域网的任何一台主机中,都有一个ARP 缓存表,该表中保存这网络中各个电脑的IP 地 址和MAC 地址的对照关系。当这台主机向
3、同局域网中另外的主机发送数据的时候,会根据ARP 缓存表里的对应关系进行发送。ARP 攻 击就是通过伪造IP 地址和MAC 地址 实现 ARP 欺骗,能够在网络中产生大量的ARP 通信量使网络阻塞,攻击者只要持续不断的发出伪造的ARP 响应包就能更改目标主机ARP 缓 存中的IP-MAC条目,造成网络中断或中间人攻击。ARP 攻击 主要是存在于局域网网络中,局域网中若有一个人感染ARP 木马,则感染该ARP 木马的系统将会试图通过“ARP欺骗”手段截获所在网络内其它计算机的通信信息,并因此造成网内其它计算机的通信故障。RARP 的工作原理:1.发送主机发送一个本地的RARP 广 播,在此广播包
4、中,声明自己的MAC 地址并且请求任何收到此请求的RARP服务器分配一个IP 地址;2.本地网段上的RARP服务器收到此请求后,检查其RARP列表,查找该MAC 地 址对应的IP 地址;3.如果存在,RARP 服 务器就给源主机发送一个响应数据包并将此IP 地址提供给对方主机使用;4.如果不存在,RARP 服务器 对此不做任何的响应;5.源主机收到从RARP服务器的响应信息,就利用得到的IP 地址进行通讯;如果一直没有收到RARP 服务器的响应信息,表示初始化失败。6.如果被ARP病毒攻击,则服务器做出的反映就会被占用,源主机同样得不到RARP服务器的响应信息,此时并不是服务器没有响应而是服务
5、器返回的源主机的IP被占用。名师资料总结-精品资料欢迎下载-名师精心整理-第 1 页,共 3 页 -假设 一个只有三台电脑组成的局域网,该局域网由交换机(Switch)连接。其中一个电脑名叫A,代表攻击方;一台电脑叫S,代表源主机,即发送数据的电脑;令一台电脑名叫D,代表目的主机,即接收数据的电脑。这三台电脑的IP 地址 分别为192.168.0.2,192.168.0.3,192.168.0.4。MAC 地址 分别为MAC_A,MAC_S,MAC_D。其网络拓扑环境如图3:现在,S 电脑要给D 电脑 发送数据了,在S 电 脑内部,上层的TCP 和 UDP 的数据包已经传送到了最底层的网络接口
6、层,数据包即将要发送出去,但这时还不知道目的主机 D 电脑的MAC 地址MAC_D。这 时候,S 电脑要先查询自身的ARP 缓存表,查看里面是否有192.168.0.4这台电脑的MAC 地址,如果有,那很好办,就将MAC_D封装在数据包的外面。直接发送出去即可。如果没有,这时S 电脑要 向全网络发送一个 ARP 广播包,大声询问:“我的IP 是 192.168.0.3,硬件地址是MAC_S,我想知道 IP 地址为192.168.0.4的主机的硬件地址是多少?”这时,全网络 的电脑都收到该ARP 广播包了,包括A 电脑和D 电脑。A 电 脑一看其要查询的IP 地址不是自己的,就将该数据包丢弃不予
7、理会。而D 电脑一看IP 地址 是自己的,则回答S 电脑:“我的IP 地址是192.168.0.4,我的硬件地址是MAC_S”需 要注意的是,这条信息是单独回答的,即D 电脑单独向S 电脑发 送的,并非刚才的广播。现在S 电脑已经知道目的电脑 D 的 MAC 地址了,它可以将要发送的数据包上贴上目的地址MAC_D,发送出去了。同时它还会动态更新自身的ARP 缓存表,将192.168.0.4 MAC_D这一条记录添加进去,这样,等S 电脑下次再给 D 电脑发送数据的时候,就不用大声询问发送 ARP 广播包了。这就是正常情况下的数据包发送过程。这样的机制看上去很完美,似乎整个局域网也天下太平,相安
8、无事。但是,上述数据发送机制有一个致命的缺陷,即它是建立在对局域网中电脑全部信任的基础上的,也就是说它的假设前提是:无论局域网中那台电脑,其发送的ARP 数据包都是正确的。那么这样就很危险了!因为局域网中并非所有的电脑都安分守己,往往有非法者的存在。比如在上述数据发送中,当S 电脑向全网询问“我想知道IP 地址为192.168.0.4的主机的硬件地址是多少?”后,D 电脑也 回应了自己的正确MAC 地址。但是当此时,一向沉默寡言的A 电脑也回话了:“我的IP 地址是192.168.0.4,我的硬件地址是MAC_A”,注意,此时它竟然冒充自己是D 电 脑的IP 地址,而MAC 地址竟然写成名师资
9、料总结-精品资料欢迎下载-名师精心整理-第 2 页,共 3 页 -自己的!由于A 电脑 不停地发送这样的应答数据包,本来S 电脑的ARP 缓存表中已经保存了正确的记录:192.168.0.4 MAC_D,但是由于A 电脑的不停应答,这时S电脑并不知道A 电脑发送的数据包是伪造的,导致 S 电脑又重新动态更新自身的ARP缓存表,这回记录成:192.168.0.4 MAC_A,很显然,这是一个错误的记录(这步也叫ARP 缓存表中毒),这样就导致以后凡是S 电脑要发送给D 电脑,也就是IP地址为192.168.0.4这台主机的数据,都将会发送给MAC 地址为MAC_A的主机,这样,在光天化日之下,A 电脑竟然劫持了由S 电脑发送给D 电脑的数据!这就是ARP 欺骗的过程。名师资料总结-精品资料欢迎下载-名师精心整理-第 3 页,共 3 页 -