ARP欺骗的原理、步骤和危害
版权声明:原创作品,允许转载,转载时请务必以超链接形式标明文章 原始出处 、作者信息和本声明。否则将追究法律责任。http://huangkun.blog.51cto.com/190289/42938 |
网络上关于ARP的原理、步骤等内容已经有很多文档了,此次整理这篇博文是为《 ARP欺骗引发的“冤案”——质问电信通IDC的服务质量》一文附上相关文章。
ARP欺骗的原理:
ARP欺骗包是通过一个恶毒的程序自动发送的,正常的TCP/IP网络是不会有这样的错误包发送的,而人工发送又比较麻烦。也就是说当黑客没有运行这个恶毒程序的话,网络上通信应该是一切正常的,保留在各个连接网络计算机上的ARP缓存表也应该是正确的,只有程序启动开始发送错误ARP信息以及ARP欺骗包时才会让某些计算机访问网络出现问题。 欺骗步骤举例如下: Step1:假设一个交换机连接了3台机器,依次是服务器A,B,C。 A服务器:IP的地址为:192.168.1.1 MAC: AA-AA-AA-AA-AA-AA B服务器:IP的地址为:192.168.1.2 MAC: BB-BB-BB-BB-BB-BB C服务器:IP的地址为:192.168.1.3 MAC: CC-CC-CC-CC-CC-CC Step2:正常情况下在A服务器上运行ARP -A查询ARP缓存表应该出现如下信息。 Interface: 192.168.1.1 on Interface 0x1000003 Internet Address Physical Address Type 192.168.1.3 CC-CC-CC-CC-CC-CC dynamic Step3:在B服务器上运行ARP欺骗程序,来发送ARP欺骗包。 B向A发送一个由B自己伪造的ARP应答,而这个应答中的数据为发送方IP地址是192.168.1.3(C的IP地址),MAC地址是DD-DD-DD-DD-DD-DD(C的MAC地址本来应该是CC-CC-CC-CC-CC-CC,这里被伪造了)。当A接收到B伪造的ARP应答,就会更新本地的ARP缓存(A不知道被伪造了)。而且A不知道其实是从B发送过来的,A这里只192.168.1.3(C的IP地址)和无效的DD-DD-DD-DD-DD-DD mac地址。 Step4:欺骗完毕后在A服务器上运行cmd 窗口中输入“arp -a”来查询ARP缓存信息。你会发现原来正确的信息现在已经出现了错误。 Interface: 192.168.1.1 on Interface 0x1000003 Internet Address Physical Address Type 192.168.1.3 DD-DD-DD-DD-DD-DD dynamic 从上面的介绍可以清楚的明白网络中传输数据包最后都是要根据MAC地址信息的,也就是说虽然网络日常通讯都是通过IP地址,但是最后还是需要通过ARP协议进行地址转换,将IP地址变为MAC地址。而上面例子中在A服务器上的关于C服务器的MAC地址已经错误了,所以即使以后从A服务器访问C服务器这个192.168.1.3这个地址也会被ARP协议错误的解析成MAC地址为DD-DD-DD-DD-DD-DD的。 问题也会随着ARP欺骗包针对网关而变本加厉,当网络中一台服务器,反复向其他服务器,特别是向网关,发送这样无效假冒的ARP应答信息包时,严重的网络堵塞就会开始。由于网关MAC地址错误,所以从网络中计算机发来的数据无法正常发到网关,自然无法正常上网。这就造成了无法访问外网的问题,另外由于很多时候网关还控制着我们的局域网LAN上网,所以这时我们的LAN访问也就出现问题了。 ARP欺骗的危害: ARP欺骗可以造成内部网络的混乱,让某些被欺骗的Server无法正常访问内外网络,使网关无法和客户端正常通信。实际上他的危害还不仅仅如此,一般来说IP地址的冲突我们可以通过多种方法和手段来避免,而ARP协议工作在更低层,隐蔽性更高。系统并不会判断ARP缓存的正确与否,无法像IP地址冲突那样给出提示。而且很多黑客工具例如网络剪刀手等,可以随时发送ARP欺骗数据包和ARP恢复数据包,这样就可以实现在一台Server上通过发送ARP数据包的方法来控制网络中任何一台Server的网络链路,甚至还可以直接对网关进行攻击,让所有连接网络的计算机都无法正常上网。所以说ARP欺骗的危害是巨大的,而且非常难对付,必须在其发生之前利用网络设备的部署策略(VLAN、IP+MAC绑定)加以避免。 本文出自 “黄琨” 博客,请务必保留此出处http://huangkun.blog.51cto.com/190289/42938 本文出自 51CTO.COM技术博客 |
黄琨
博客统计信息
热门文章
最新评论
友情链接
