ARP欺骗与DNS欺骗--精品PPT课件.ppt

ARP欺骗与DNS欺骗
黑客反向工程
ARP简介
ARP欺骗原理
ARP欺骗操作及防御
DNS简介
DNS欺骗原理
DNS欺骗操作及防御
ARP简介

ARP(Address Resolution Protocol),即地址解析协议,是根据IP地址获取物理地址的一个TCP/IP协议。主机发送信息时将包含目标IP地址的ARP请求广播到网络上的所有主机,并接收返回消息,以此确定目标的物理地址;收到返回消息后将该IP地址和物理地址存入本机ARP缓存中并保留一定时间,下次请求时直接查询ARP缓存以节约资源。
ARP简介
某机器A要向主机B发送报文,会查询本地的ARP缓存表,找到B的IP地址对应的MAC地址后,就会进行数据传输。如果未找到,则A广播一个ARP请求报文(携带主机A的IP地址Ia——物理地址Pa),请求IP地址为Ib的主机B回答物理地址Pb。网上所有主机包括B都收到ARP请求,但只有主机B识别自己的IP地址,于是向A主机发回一个ARP响应报文。其中就包含有B的MAC地址,A接收到B的应答后,就会更新本地的ARP缓存。接着使用这个MAC地址发送数据(由网卡附加MAC地址)。因此,本地高速缓存的这个ARP表是本地网络流通的基础,而且这个缓存是动态的。
ARP原理
ARP欺骗
1) 什么是ARP欺骗?在局域网中,黑客经过收到ARP Request广播包,能够偷听到其它节点的(IP, MAC) 地址, 黑客就伪装为A,告诉B (受害者) 一个假地址,使得B在发送给A 的数据包都被黑客截取,而A, B 浑然不知。
2) 为什么黑客能够进行ARP欺骗? ARP 是个早期的网络协议,RFC826在 1980就出版了。早期的互联网采取的是信任模式,在科研、大学内部使用,追求功能、速度,没考虑网络安全。尤其以太网的洪泛特点,能够很方便的用来查询。但这也为日后的黑客开了方便之门。黑客只要在局域网内阅读送上门来的ARP Request就能偷听到网内所有的(IP, MAC)地址。而节点收到ARP Reply时,也不会质疑。黑客很容易冒充他人
3) 能够防止欺骗吗?不能。但这种伤害的伤害已经很小。因为局域网的工作环境有了改变, 服务器通常不会和终端主机在同一个局域网。
ARP欺骗准备
相关软件下载:
ARP攻击检测工具
局域网终结者
网络执法官
ARPsniffer嗅探工具
ARPsniffer使用原理:
ARPsniffer: 在使用该工具时,它会将网络接口设置为混杂模式,该模式下工具可以监听到网络中传输的所有数据帧,而不管数据帧的目的地是自己还是其他网络接口的地址。嗅探器会对探测到的每一个数据帧产生硬件数据中断,交由操作系统处理,这样就实现了数据截获。
利用ARPsniffer嗅探数据
,,输入Start ,。ARPsniffer有很多种欺骗方式,下面的例子是其中的一种。
,依次输入以下命令:
" -sniffall -o f:\ -g -t "(其中IP地址:,,。)按回车键运行,出现如下图所示的选项,选1,接着选0,回车,程序便开始监听了。
2. 停止运行,,在文件中查找,可以发现被欺骗主机的一些敏感信息,如下图:可以发现被欺骗主机注册某网站时的信息:sec password=11223344等。
局域网终结者使用原理
局域网终结者使用原理:一个主机接收到与自已相同IP发出的ARP请求就会弹出一个IP冲突框来。利用局域网终结者可以伪造任一台主机的IP向局域网不停地发送ARP请求,同时自已的MAC也是伪造的,那么被伪造IP的主机便会不停地收到IP冲突提示,致使该主机无法上网。这便构成了局域网终结者的攻击原理。