我們大家都知道,在區域網中,一台主機要和另一台主機進行通訊,必須要知道目標主機的ip位址,但是最終負責在區域網中傳送資料的網絡卡等物理裝置是不識別ip位址的,只能識別其硬體位址即mac位址。 mac位址是48位的,通常表示為12個16進製制數,每2個16進製制數之間用「-」或者冒號隔開,如:00-0b-2f-13-1a-11就是乙個mac位址。
每一塊網絡卡都有其全球唯一的mac位址,網絡卡之間傳送資料,只能根據對方網絡卡的mac位址進行傳送,這時就需要乙個將高層資料報中的ip位址轉換成低層mac位址的協議,而這個重要的任務將由arp協議完成。
arp全稱為address resolution protocol,位址解析協議。所謂「位址解析」就是主機在傳送資料報前將目標主機ip位址轉換成目標主機mac位址的過程。arp協議的基本功能就是通過目標裝置的ip位址,查詢目標裝置的mac位址,以保證通訊的順利進行。
這時就涉及到乙個問題,乙個區域網中的電腦少則幾台,多則上百臺,這麼多的電腦之間,如何能準確的記住對方電腦網絡卡的mac位址,以便資料的傳送呢?這就涉及到了另外乙個概念,arp快取表。 在區域網的任何一台主機中,都有乙個arp快取表,該表中儲存這網路中各個電腦的ip位址和mac位址的對照關係。
當這台主機向同區域網中另外的主機傳送資料的時候,會根據arp快取表裡的對應關係進行傳送。
arp攻擊就是通過偽造ip位址和mac位址實現arp欺騙,能夠在網路中產生大量的arp通訊量使網路阻塞,攻擊者只要持續不斷的發出偽造的arp響應包就能更改目標主機arp快取中的ip-mac條目,造成網路中斷或中間人攻擊。
arp攻擊主要是存在於區域網網路中,區域網中若有乙個人感染arp木馬,則感染該arp木馬的系統將會試圖通過「arp欺騙」手段截獲所在網路內其它計算機的通訊資訊,並因此造成網內其它計算機的通訊故障。
rarp的工作原理:
1. 傳送主機傳送乙個本地的rarp廣播,在此廣播包中,宣告自己的mac位址並且請求任何收到此請求的rarp伺服器分配乙個ip位址;
2. 本地網段上的rarp伺服器收到此請求後,檢查其rarp列表, 查詢該mac位址對應的ip位址;
3. 如果存在,rarp伺服器就給源主機傳送乙個響應資料報並將此ip位址提供給對方主機使用;
4. 如果不存在,rarp伺服器對此不做任何的響應;
5. 源主機收到從rarp伺服器的響應資訊,就利用得到的ip位址進行通訊;如果一直沒有收到rarp伺服器的響應資訊,表示初始化失敗。
6.如果被arp病毒攻擊,則伺服器做出的反映就會被占用,源主機同樣得不到rarp伺服器的響應資訊,此時並不是伺服器沒有響應而是伺服器返回的源主機的ip被占用。
假設乙個只有三颱電腦組成的區域網,該區域網由交換機(switch)連線。其中乙個電腦名叫a,代表攻擊方;一台電腦叫s,代表源主機,即傳送資料的電腦;令一台電腦名叫d,代表目的主機,即接收資料的電腦。 這三颱電腦的ip位址分別為192.
168.0.2,192.
168.0.3,192.
168.0.4。
mac位址分別為 mac_a,mac_s,mac_d。其網路拓撲環境如圖3:
現在,s電腦要給d電腦傳送資料了,在s電腦內部,上層的tcp和udp的資料報已經傳送到了最底層的網路介面層,資料報即將要傳送出去,但這時還不知道目的主機d電腦的mac位址mac_d。這時候,s電腦要先查詢自身的arp快取表,檢視裡面是否有192.168.
0.4這台電腦的mac位址,如果有,那很好辦, 就將mac_d封裝在資料報的外面。直接傳送出去即可。
如果沒有,這時s電腦要向全網路傳送乙個arp廣播包,大聲詢問:「我的ip是192.168.
0.3,硬體位址是mac_s,我想知道ip位址為192.168.
0.4的主機的硬體位址是多少?」 這時,全網路的電腦都收到該arp廣播包了,包括a電腦和d電腦。
a電腦一看其要查詢的ip位址不是自己的,就將該資料報丟棄不予理會。而d電腦一看ip位址是自己的,則回答s電腦:「我的ip位址是192.
168.0.4,我的硬體位址是mac_s」需要注意的是,這條資訊是單獨回答的,即d電腦單獨向s電腦傳送的,並非剛才的廣播。
現在s電腦已經知道目的電腦d的mac位址了,它可以將要傳送的資料報上貼上目的位址mac_d,傳送出去了。同時它還會動態更新自身的arp快取表,將192.168.
0.4-mac_d這一條記錄新增進去,這樣,等s電腦下次再給d電腦傳送資料的時候,就不用大聲詢問傳送arp廣播包了。這就是正常情況下的資料報傳送過程。
這樣的機制看上去很完美,似乎整個區域網也天下太平,相安無事。但是,上述資料傳送機制有乙個致命的缺陷,即它是建立在對區域網中電腦全部信任的基礎上的,也就是說它的假設前提是:無論區域網中那台電腦,其傳送的arp資料報都是正確的。
那麼這樣就很危險了!因為區域網中並非所有的電腦都安分守己,往往有非法者的存在。比如在上述資料傳送中,當s電腦向全網詢問「我想知道ip位址為192.
168.0.4的主機的硬體位址是多少?
」後,d電腦也回應了自己的正確mac位址。但是當此時,一向沉默寡言的a電腦也回話了:「我的ip位址是192.
168.0.4,我的硬體位址是mac_a」 ,注意,此時它竟然冒充自己是d電腦的ip位址,而mac位址竟然寫成自己的!
由於a電腦不停地傳送這樣的應答資料報,本來s電腦的arp快取表中已經儲存了正確的記錄:192.168.
0.4-mac_d,但是由於a電腦的不停應答, 這時s電腦並不知道a電腦傳送的資料報是偽造的,導致s電腦又重新動態更新自身的arp快取表,這回記錄成:192.
168.0.4-mac_a,很顯然,這是乙個錯誤的記錄(這步也叫arp快取表中毒),這樣就導致以後凡是s電腦要傳送給d電腦,也就是ip位址為192.
168.0.4這台主機的資料,都將會傳送給mac位址為mac_a的主機,這樣,在光天化日之下,a電腦竟然劫持了由s電腦傳送給d電腦的資料!
這就是arp欺騙的過程。
區域網內ARP攻擊及防範實現
摘要 區域網內有人使用arp欺騙的木馬程式來盜用使用者的資訊。該方法隱蔽性強,對於使用者的危害非常嚴重,但是沒有多少好的解決方法。總結了一套方法來防止arp欺騙,希望對大家有所幫助。關鍵詞 arp欺騙 mac位址 防範 要了解攻擊原理,我們先來了解一下arp address resolution p...
ARP協議原理分析
arp,全稱address resolution protocol,中文名為位址解析協議,它工作在資料鏈路層,在本層和硬體介面聯絡,同時對上層提供服務。ip資料報常通過乙太網傳送,乙太網裝置並不識別32位ip位址,它們是以48位乙太網位址傳輸乙太網資料報。因此,必須把ip目的位址轉換成乙太網目的位址...
低端交換機防ARP攻擊特性總結
目錄一 支援防arp攻擊特性的裝置型號和版本 2 1 h3c品牌 2 1 h3c s3100 52p e152 2 2 h3c s3100 ei e126a 2 3 h3c s3100 si e126 s2126 ei 2 4 h3c s3600 ei 2 5 h3c s3600 si e328 e...