ARP攻击原理及防范.pptx

ARP攻击原理及防范.pptx

《ARP攻击原理及防范.pptx》由会员分享，可在线阅读，更多相关《ARP攻击原理及防范.pptx（16页珍藏版）》请在冰点文库上搜索。

ARP攻击原理及防范PrincipleandPreventionofARPAttacks,DCN-韩亚乾,什么是ARP,一台主机要和另一台主机进行通信，必须要知道另一台主机的IP地址，但是最终负责在局域网中传送数据的网卡等物理设备是不识别IP地址的，只能识别其MAC地址。

MAC地址是48位的，通常表示为12个16进制数，每2个16进制数之间用“-”或者冒号隔开，如：

FF-FF-FF-FF-FF-FF就是一个MAC地址。

每一块网卡都有其全球唯一的MAC地址，网卡之间发送数据，只能根据对方网卡的MAC地址进行发送，这时就需要一个将数据包中的IP地址转换成MAC地址的协议，而这个重要的任务将由ARP协议完成。

ARP全称为AddressResolutionProtocol，即地址解析协议。

所谓“地址解析”就是主机在发送数据包前将目标主机IP地址转换成目标主机MAC地址的过程。

ARP协议的基本功能就是通过目标设备的IP地址，查询目标设备的MAC地址，以保证通信的顺利进行。

ARP协议工作原理,在以太网中，数据传输的目标地址是MAC地址，一个主机要和另一个主机进行直接通信，必须要知道目标主机的MAC地址。

计算机使用者通常只知道目标机器的IP信息，“地址解析”就是主机在发送帧前将目标IP地址转换成目标MAC地址的过程。

简单地说，ARP协议主要负责将局域网中的32为IP地址转换为对应的48位物理地址，即网卡的MAC地址，保障通信顺利进行。

172.16.3.1,172.16.3.2,IP:

172.16.3.2=?

我需要知道176.16.3.2的物理地址.,ARP协议工作原理,172.16.3.1,172.16.3.2,IP:

172.16.3.2=?

我知道你的请求，这是我的物理地址,我需要知道176.16.3.2的物理地址.,ARP协议工作原理,172.16.3.1,172.16.3.2,IP:

172.16.3.2=?

IP:

172.16.3.2Ethernet:

0800.0020.1111,我知道你的请求，这是我的物理地址,我需要知道176.16.3.2的物理地址.,ARP协议工作原理,什么是ARP欺骗？

每个主机都用一个ARP高速缓存存放最近IP地址到MAC地址之间的映射记录。

默认情况下，ARP从缓存中读取IP-MAC条目，缓存中的IP-MAC条目是根据ARP响应包动态变化的。

只要网络上有ARP响应包发送到本机，即会更新ARP高速缓存中的IP-MAC条目。

攻击者只要持续不断的发出伪造的ARP响应包就能更改目标主机ARP缓存中的IP-MAC条目，完成ARP欺骗。

一个简单的案例,主机A192.168.0.1AA-AA-AA-AA-AA-AA,主机B192.168.0.2BB-BB-BB-BB-BB-BB,ARP应答包：

主机B的MAC地址为CC-CC-CC-CC-CC-CC主机C192.168.0.3CC-CC-CC-CC-CC-CC,主机A的ARP缓存表192.168.0.2BB-BB-BB-BB-BB-BBdynamic,主机A192.168.0.1AA-AA-AA-AA-AA-AA,主机B192.168.0.2BB-BB-BB-BB-BB-BB,ARP应答包：

主机B的MAC地址为CC-CC-CC-CC-CC-CC主机C192.168.0.3CC-CC-CC-CC-CC-CC,主机A的ARP缓存表192.168.0.2CC-CC-CC-CC-CC-CCdynamic,一个简单的案例,主机A192.168.0.1AA-AA-AA-AA-AA-AA,主机C192.168.0.3CC-CC-CC-CC-CC-CC,主机B192.168.0.2BB-BB-BB-BB-BB-BB,发给主机B的信息,主机A的ARP缓存表,192.168.0.2CC-CC-CC-CC-CC-CCdynamic,一个简单的案例,主机A192.168.0.1AA-AA-AA-AA-AA-AA,主机B192.168.0.2BB-BB-BB-BB-BB-BB,发给主机B的信息,主机A的ARP缓存表192.168.0.2CC-CC-CC-CC-CC-CCdynamic,主机C192.168.0.3CC-CC-CC-CC-CC-CC主机C通过这种方式可以窃取主机A发送给主机B的信息；为了使过程更加隐蔽，主机C还可以将数据包转发给主机B，从而使主机A和B都不能察觉，这种攻击方式称为ManInTheMiddle中间人攻击。

中间人攻击经常被用来窃取帐号信息，如传奇木马；还可以在转发数据的时候添加恶意程序。

一个简单的案例,主机A192.168.0.1AA-AA-AA-AA-AA-AA,网关,192.168.0.2BB-BB-BB-BB-BB-BB,需要经过网关中转的信息,主机A的ARP缓存表192.168.0.2CC-CC-CC-CC-CC-CCdynamic,主机C192.168.0.3CC-CC-CC-CC-CC-CC如果把主机B换成网关，会使主机A因为无法找到正确的网关，从而无法访问出去，造成上网中断；同样，主机C可以开启IP转发功能，完成中间人攻击或者在转发的数据中添加恶意程序。

同时可以监听整个网段内的数据通信。

一个简单的案例,ARP欺骗时的现象,网络掉线，但网络连接正常；内网的部分PC机不能上网，或者所有电脑不能上网；无法打开网页或打开网页慢；局域网时断时续并且网速较慢等。

如何快速判断自己被ARP欺骗？

出现异常，不能上网的情况下，打开“开始”“运行”，在CMD窗口中输入“arpd”，然后重新尝试上网，如果可以上网，说明之前是由于ARP欺骗造成的误区：

不能上网的机器未必是感染了ARP病毒的机器，而应该是被ARP欺骗的机器。

因此在该机器上杀毒是没有意义的。

预防ARP欺骗的几点建议,不要把你的网络安全信任关系建立在IP基础上或MAC基础上，理想的关系应该建立在IP+MAC基础上。

设置静态的MAC-IP对应表，不要让主机刷新你设定好的转换表。

除非很有必要，否则停止使用ARP，将ARP做为永久条目保存在对应表中。

使用ARP服务器。

通过该服务器查找自己的ARP转换表来响应其他机器的ARP广播。

确保这台ARP服务器不被黑。

使用proxy代理IP的传输。

使用硬件屏蔽主机。

设置好你的路由，确保IP地址能到达合法的路径。

（静态配置路由ARP条目），注意，使用交换集线器和网桥无法阻止ARP欺骗。

管理员定期轮询，检查主机上的ARP缓存。