今天学的知识不多,忙了一天学校的东西,做了一上午路由实验,下午做了个社会调查报告,晚上才腾出时间学一些,然后得知明儿竟然要补五一的课,然而我周二是刚好没课的哈哈,下了两天雨在家里出不去,憋坏了,明儿去跑跑步吧
ARP攻击之原理分析
什么是ARP协议
ARP协议是“Address Resolution Protocol”(地址解析协议)的缩写。在局域网中,网络中实际传输的是“帧”,帧里面是有目标主机的MAC地址的。注意:ARP是工作在数据链路层中
在以太网中,一个主机要和另一个主机进行直接通信,必须要知道目标主机的MAC地址。
但这个目标MAC地址是如何获得的呢?它就是通过地址解析协议获得的。所谓“地址解析”就是主机在发送帧前将目标IP地址转换成目标MAC地址的过程。
ARP欺骗的危害
ARP欺骗可以造成内部网络的混乱,让某些被欺骗的计算机无法正常访问内外网,让网关无法和客户端正常通信,也可以截取全网络数据包等。
实际上他的危害还不仅仅如此,一般来说IP地址的冲突我们可以通过多种方法和手段来避免,而ARP协议工作在更低层,隐蔽性更高。系统并不会判断ARP缓存的正确与否,无法像IP地址冲突那样给出提示。
常见的就是让主机无法上网,或者限制流量带宽,IP地址冲突,例如“网络执法官” , 除此之外还可以挂马,无线钓鱼,刷广告连接
ARP欺骗的原理
什么是中间人攻击
在了解ARP攻击之前先让我们了解一下中间人攻击(MITM)
中间人攻击(Man in the Middle Attack,简称“MITM攻击”)是一种间接的入侵攻击。这种攻击模式是通过各种技术手段,将受入侵者控制的一台计算机虚拟放置在网络连接中的两台通信计算机之间,这台计算机就称为“中间人”。
中间人攻击是包含了ARP攻击的
还包括DNS欺骗 DHCP欺骗等
ARP欺骗的原理就是把自己的MAC地址伪造成网关的地址来欺骗其它的主机。
一般情况下,ARP欺骗并不是使网络无法正常通信,而是通过冒充网关或其他主机使得到达网关或主机的数据流通过攻击主机进行转发。通过转发流量可以对流量进行控制和查看,从而控制流量或得到机密信息。
当主机A和主机B之间通信时,如果主机A在自己的ARP缓存表中没有找到主机B的MAC地址时,主机A将会向整个局域网中所有计算机发送ARP广播,广播后整个局域网中的计算机都收到了该数据。
单向ARP欺骗
这时候,主机C响应主机A,说我是主机B,我的MAC地址是XX-XX-XX-XX-XX-XX,主机A收到地址后就会重新更新自己的缓冲表。
缓冲表可以在CMD中arp -a查看
当主机A再次与主机B通信时,该数据将被转发到攻击主机(主机C)上,则该数据流会经过主机C转发到主机B。
双向ARP欺骗
A要跟C正常通讯,B向A说我是才C。B向C说我才是A,那么这样的情况下把A跟C的ARP缓存表全部修改了。以后通讯过程就是 A把数据发送给B,B在发送给C,C把数据发送B,B在把数据给A。
攻击主机发送ARP应答包给被攻击主机和网关,它们分别修改其ARP缓存表, 修改的全是攻击主机的MAC地址,这样它们之间数据都被攻击主机截获。
ARP攻击两个必备条件
首先要有属于内网里的一台服务武器
其次是对方内网没有采用ARP防护的
现在很少有企业不做的,原因是最完善的方法是在路由器上需要绑定端口,IP MAC
网关绑定,缺点是之后IP地址改变之后,网管每次都要去更改,第二种方法是在自己电脑上把IP和MAC 网关绑定一下,但是很难去管理