ARP攻击原理及防范.pptx
《ARP攻击原理及防范.pptx》由会员分享,可在线阅读,更多相关《ARP攻击原理及防范.pptx(16页珍藏版)》请在冰点文库上搜索。
ARP攻击原理及防范PrincipleandPreventionofARPAttacks,DCN-韩亚乾,什么是ARP,一台主机要和另一台主机进行通信,必须要知道另一台主机的IP地址,但是最终负责在局域网中传送数据的网卡等物理设备是不识别IP地址的,只能识别其MAC地址。
MAC地址是48位的,通常表示为12个16进制数,每2个16进制数之间用“-”或者冒号隔开,如:
FF-FF-FF-FF-FF-FF就是一个MAC地址。
每一块网卡都有其全球唯一的MAC地址,网卡之间发送数据,只能根据对方网卡的MAC地址进行发送,这时就需要一个将数据包中的IP地址转换成MAC地址的协议,而这个重要的任务将由ARP协议完成。
ARP全称为AddressResolutionProtocol,即地址解析协议。
所谓“地址解析”就是主机在发送数据包前将目标主机IP地址转换成目标主机MAC地址的过程。
ARP协议的基本功能就是通过目标设备的IP地址,查询目标设备的MAC地址,以保证通信的顺利进行。
ARP协议工作原理,在以太网中,数据传输的目标地址是MAC地址,一个主机要和另一个主机进行直接通信,必须要知道目标主机的MAC地址。
计算机使用者通常只知道目标机器的IP信息,“地址解析”就是主机在发送帧前将目标IP地址转换成目标MAC地址的过程。
简单地说,ARP协议主要负责将局域网中的32为IP地址转换为对应的48位物理地址,即网卡的MAC地址,保障通信顺利进行。
172.16.3.1,172.16.3.2,IP:
172.16.3.2=?
我需要知道176.16.3.2的物理地址.,ARP协议工作原理,172.16.3.1,172.16.3.2,IP:
172.16.3.2=?
我知道你的请求,这是我的物理地址,我需要知道176.16.3.2的物理地址.,ARP协议工作原理,172.16.3.1,172.16.3.2,IP:
172.16.3.2=?
IP:
172.16.3.2Ethernet:
0800.0020.1111,我知道你的请求,这是我的物理地址,我需要知道176.16.3.2的物理地址.,ARP协议工作原理,什么是ARP欺骗?
每个主机都用一个ARP高速缓存存放最近IP地址到MAC地址之间的映射记录。
默认情况下,ARP从缓存中读取IP-MAC条目,缓存中的IP-MAC条目是根据ARP响应包动态变化的。
只要网络上有ARP响应包发送到本机,即会更新ARP高速缓存中的IP-MAC条目。
攻击者只要持续不断的发出伪造的ARP响应包就能更改目标主机ARP缓存中的IP-MAC条目,完成ARP欺骗。
一个简单的案例,主机A192.168.0.1AA-AA-AA-AA-AA-AA,主机B192.168.0.2BB-BB-BB-BB-BB-BB,ARP应答包:
主机B的MAC地址为CC-CC-CC-CC-CC-CC主机C192.168.0.3CC-CC-CC-CC-CC-CC,主机A的ARP缓存表192.168.0.2BB-BB-BB-BB-BB-BBdynamic,主机A192.168.0.1AA-AA-AA-AA-AA-AA,主机B192.168.0.2BB-BB-BB-BB-BB-BB,ARP应答包:
主机B的MAC地址为CC-CC-CC-CC-CC-CC主机C192.168.0.3CC-CC-CC-CC-CC-CC,主机A的ARP缓存表192.168.0.2CC-CC-CC-CC-CC-CCdynamic,一个简单的案例,主机A192.168.0.1AA-AA-AA-AA-AA-AA,主机C192.168.0.3CC-CC-CC-CC-CC-CC,主机B192.168.0.2BB-BB-BB-BB-BB-BB,发给主机B的信息,主机A的ARP缓存表,192.168.0.2CC-CC-CC-CC-CC-CCdynamic,一个简单的案例,主机A192.168.0.1AA-AA-AA-AA-AA-AA,主机B192.168.0.2BB-BB-BB-BB-BB-BB,发给主机B的信息,主机A的ARP缓存表192.168.0.2CC-CC-CC-CC-CC-CCdynamic,主机C192.168.0.3CC-CC-CC-CC-CC-CC主机C通过这种方式可以窃取主机A发送给主机B的信息;为了使过程更加隐蔽,主机C还可以将数据包转发给主机B,从而使主机A和B都不能察觉,这种攻击方式称为ManInTheMiddle中间人攻击。
中间人攻击经常被用来窃取帐号信息,如传奇木马;还可以在转发数据的时候添加恶意程序。
一个简单的案例,主机A192.168.0.1AA-AA-AA-AA-AA-AA,网关,192.168.0.2BB-BB-BB-BB-BB-BB,需要经过网关中转的信息,主机A的ARP缓存表192.168.0.2CC-CC-CC-CC-CC-CCdynamic,主机C192.168.0.3CC-CC-CC-CC-CC-CC如果把主机B换成网关,会使主机A因为无法找到正确的网关,从而无法访问出去,造成上网中断;同样,主机C可以开启IP转发功能,完成中间人攻击或者在转发的数据中添加恶意程序。
同时可以监听整个网段内的数据通信。
一个简单的案例,ARP欺骗时的现象,网络掉线,但网络连接正常;内网的部分PC机不能上网,或者所有电脑不能上网;无法打开网页或打开网页慢;局域网时断时续并且网速较慢等。
如何快速判断自己被ARP欺骗?
出现异常,不能上网的情况下,打开“开始”“运行”,在CMD窗口中输入“arpd”,然后重新尝试上网,如果可以上网,说明之前是由于ARP欺骗造成的误区:
不能上网的机器未必是感染了ARP病毒的机器,而应该是被ARP欺骗的机器。
因此在该机器上杀毒是没有意义的。
预防ARP欺骗的几点建议,不要把你的网络安全信任关系建立在IP基础上或MAC基础上,理想的关系应该建立在IP+MAC基础上。
设置静态的MAC-IP对应表,不要让主机刷新你设定好的转换表。
除非很有必要,否则停止使用ARP,将ARP做为永久条目保存在对应表中。
使用ARP服务器。
通过该服务器查找自己的ARP转换表来响应其他机器的ARP广播。
确保这台ARP服务器不被黑。
使用proxy代理IP的传输。
使用硬件屏蔽主机。
设置好你的路由,确保IP地址能到达合法的路径。
(静态配置路由ARP条目),注意,使用交换集线器和网桥无法阻止ARP欺骗。
管理员定期轮询,检查主机上的ARP缓存。