ARP欺骗攻击.pptx

黑客攻防
ARP欺骗攻击
ARP概述
ARP(Address Resolution Protocol)是地址解析协议,
是一种将IP地址转化成物理地址的协议。从IP地址到物理地址的映射有两种方式:表格方式和非表格方式。ARP具体说来就是将网络层(也就是相当于OSI的第三层)地址解析为数据链路层(也就是相当于OSI的第二层)的物理地址(注:此处物理地址并不一定指MAC地址)。
ARP原理
某机器A要向主机B发送报文,会查询本地的ARP缓存表,找到B的IP地址对应的MAC地址后,就会进行数据传输。如果未找到,则A广播一个ARP请求报文(携带主机A的IP地址Ia——物理地址Pa),请求IP地址为Ib的主机B回答物理地址Pb。网上所有主机包括B都收到ARP请求,但只有主机B识别自己的IP地址,于是向A主机发回一个ARP响应报文。其中就包含有B的MAC地址,A接收到B的应答后,就会更新本地的ARP缓存。接着使用这个MAC地址发送数据(由网卡附加MAC地址)。因此,本地高速缓存的这个ARP表是本地网络流通的基础,而且这个缓存是动态的。
ARP欺骗攻击原理
从ARP协议的工作过程,我们可以看出,ARP协议数据发送机制有一个致命的缺陷,即它是建立在对局域网中主机全部信任的基础上的,也就是说它的假设前提是:无论局域网中哪台主机,其发送的ARP数据包都是正确的。那么这样就很危险了!因为局域网中并非所有的主机都安分守己,往往有非法者的存在。比如在上述数据发送中,当主机A向全网询问“?”后,主机B也回应了自己的正确MAC地址。但是当此时,应该沉默的主机X也回话了:“,我的硬件地址是MAC_X”,
注意,此时它竟然冒充自己是主机B的IP地址,而MAC地址竟然写成自己的!由于主机X不停地发送这样的应答数据包,本来主机A的ARP缓存表中已经保存了正确的记录:-MAC_B,但是由于主机X的不停应答,这时主机A并不知道主机X发送的数据包是伪造的,导致主机A又重新动态更新自身的ARP缓存表,这回记录成:-MAC_X,很显然,这是一个错误的记录(也叫ARP缓存表中毒),这样就导致以后凡是主机A要发送给主机B,,都将会发送给MAC地址为MAC_X的主机,这样主机X就劫持了由主机A发送给主机B的数据!这就是ARP欺骗的过程
如果X这台主机不冒充主机B,而是冒充网关,那后果会怎么样呢?如果主机X向全网不停的发送ARP欺骗广播,大声说:“,我的硬件地址是MAC_X”,这时局域网中的其他主机并没有察觉到什么,因为局域网通信的前提条件是信任任何主机发送的ARP广播包。这样局域网中的其他主机都会更新自身的ARP缓存表,-MAC_X这样的记录,这样,当它们发送给网关,,结果都会发送到MAC_X这台电脑中!这样,主机X就将会监听整个局域网发送给互联网的数据包。
欺骗种类
ARP欺骗分为二种,一种是对路由器ARP表的欺骗;另一种是对内网PC的网关欺骗
第一种ARP欺骗的原理是——截获网关数据。它通知路由器一系列错误的内网MAC地址,并按照一定的频率不断进行,使真实的地址信息无法通过更新保存在路由器中,结果路由器的所有数据只能发送给错误的MAC地址,造成正常PC无法收到信息。
第二种ARP欺骗的原理是——伪造网关。它的原理是建立假网关,让被它欺骗的PC向假网关发数据,而不是通过正常的路由器途径上网。在PC看来,就是上不了网了,“网络掉线了”。
ARP欺骗能做什么呢
网络数据的基本传送流程是
信息发送--网关--信息接收
如果有某台机器感染了arp,他会冒充网关主机,当有数据通过这个假冒的网关时,正常的数据就会被这个假网关插入病毒代码,被插入病毒的数据传送到了接收方,那接收方就也可能会中毒,成为又一个假网关, arp病毒就是以此方式迅速蔓延就好比你寄信时,帮你投递的是一个假邮递员,他把你的信里放入了病毒,那收信人就会被病毒感染,冒充邮递员再去骗别人
WinArpAttacker
WinArpAttacker是一个很出名的ARP攻击工具,
进行使用前,要先进行设置,打开菜单“设置”
适配器选择你将要扫描的那个适配器(和嗅探器的使用类似),选择自己的IP和网关IP,然后按下“应用”和“确定”。