局域網(wǎng)ARP欺騙原理及危害
網(wǎng)吧是最常見的局域網(wǎng),相信很多讀者都曾經(jīng)到網(wǎng)吧上網(wǎng)沖浪。不過在使用過程中是否出現(xiàn)過別人可以正常上網(wǎng)而自己卻無法訪問任何頁面和網(wǎng)絡(luò)信息的情況呢?雖然造成這種現(xiàn)象的情況有很多,但是目前最常見的就是ARP欺騙了,很多黑客工具甚至是病毒都是通過ARP欺騙來實(shí)現(xiàn)對主機(jī)進(jìn)行攻擊和阻止本機(jī)訪問任何網(wǎng)絡(luò)信息的目的,今天筆者就為各位介紹ARP欺騙的原理及危害,讓我們對這個攻擊方式有一個清晰的了解。
一,什么是ARP協(xié)議?
ARP協(xié)議是“Address Resolution Protocol”(地址解析協(xié)議)的縮寫。在局域網(wǎng)中,網(wǎng)絡(luò)中實(shí)際傳輸?shù)氖?ldquo;幀”,幀里面是有目標(biāo)主機(jī)的MAC地址的。在以太網(wǎng)中,一個主機(jī)要和另一個主機(jī)進(jìn)行直接通信,必須要知道目標(biāo)主機(jī)的MAC地址。但這個目標(biāo)MAC地址是如何獲得的呢?它就是通過地址解析協(xié)議獲得的。所謂“地址解析”就是主機(jī)在發(fā)送幀前將目標(biāo)IP地址轉(zhuǎn)換成目標(biāo)MAC地址的過程。ARP協(xié)議的基本功能就是通過目標(biāo)設(shè)備的IP地址,查詢目標(biāo)設(shè)備的MAC地址,以保證通信的順利進(jìn)行。所以說從某種意義上講ARP協(xié)議是工作在更低于IP協(xié)議的協(xié)議層。這也是為什么ARP欺騙更能夠讓人在神不知鬼不覺的情況下出現(xiàn)網(wǎng)絡(luò)故障,他的危害更加隱蔽。
二,ARP欺騙的原理:
首先我們可以肯定一點(diǎn)的就是發(fā)送ARP欺騙包是通過一個惡毒的程序自動發(fā)送的,正常的TCP/IP網(wǎng)絡(luò)是不會有這樣的錯誤包發(fā)送的,而人工發(fā)送又比較麻煩。也就是說當(dāng)黑客沒有運(yùn)行這個惡毒程序的話,網(wǎng)絡(luò)上通信應(yīng)該是一切正常的,保留在各個連接網(wǎng)絡(luò)計(jì)算機(jī)上的ARP緩存表也應(yīng)該是正確的,只有程序啟動開始發(fā)送錯誤ARP信息以及ARP欺騙包時才會讓某些計(jì)算機(jī)訪問網(wǎng)絡(luò)出現(xiàn)問題。接下來我們來闡述下ARP欺騙的原理。
第一步:假設(shè)這樣一個網(wǎng)絡(luò),一個Hub或交換機(jī)連接了3臺機(jī)器,依次是計(jì)算機(jī)A,B,C。
A的地址為:IP:192.168.1.1 MAC: AA-AA-AA-AA-AA-AA
B的地址為:IP:192.168.1.2 MAC: BB-BB-BB-BB-BB-BB
C的地址為:IP:192.168.1.3 MAC: CC-CC-CC-CC-CC-CC
第二步:正常情況下在A計(jì)算機(jī)上運(yùn)行ARP -A查詢ARP緩存表應(yīng)該出現(xiàn)如下信息。
Interface: 192.168.1.1 on Interface 0x1000003
Internet Address Physical Address Type
192.168.1.3 CC-CC-CC-CC-CC-CC dynamic
第三步:在計(jì)算機(jī)B上運(yùn)行ARP欺騙程序,來發(fā)送ARP欺騙包。
B向A發(fā)送一個自己偽造的ARP應(yīng)答,而這個應(yīng)答中的數(shù)據(jù)為發(fā)送方IP地址是192.168.10.3(C的IP地址),MAC地址是DD-DD-DD-DD-DD-DD(C的MAC地址本來應(yīng)該是CC-CC-CC-CC-CC-CC,這里被偽造了)。當(dāng)A接收到B偽造的ARP應(yīng)答,就會更新本地的ARP緩存(A可不知道被偽造了)。而且A不知道其實(shí)是從B發(fā)送過來的,A這里只有192.168.10.3(C的IP地址)和無效的DD-DD-DD-DD-DD-DD mac地址。
第四步:欺騙完畢我們在A計(jì)算機(jī)上運(yùn)行ARP -A來查詢ARP緩存信息。你會發(fā)現(xiàn)原來正確的信息現(xiàn)在已經(jīng)出現(xiàn)了錯誤。
Interface: 192.168.1.1 on Interface 0x1000003
Internet Address Physical Address Type
192.168.1.3 DD-DD-DD-DD-DD-DD dynamic
從上面的介紹我們可以清楚的明白原來網(wǎng)絡(luò)中傳輸數(shù)據(jù)包最后都是要根據(jù)MAC地址信息的,也就是說雖然我們?nèi)粘Mㄓ嵍际峭ㄟ^IP地址,但是最后還是需要通過ARP協(xié)議進(jìn)行地址轉(zhuǎn)換,將IP地址變?yōu)镸AC地址。而上面例子中在計(jì)算機(jī)A上的關(guān)于計(jì)算機(jī)C的MAC地址已經(jīng)錯誤了,所以即使以后從A計(jì)算機(jī)訪問C計(jì)算機(jī)這個192.168.1.3這個地址也會被ARP協(xié)議錯誤的解析成MAC地址為DD-DD-DD-DD-DD-DD的。
問題也會隨著ARP欺騙包針對網(wǎng)關(guān)而變本加厲,當(dāng)局域網(wǎng)中一臺機(jī)器,反復(fù)向其他機(jī)器,特別是向網(wǎng)關(guān),發(fā)送這樣無效假冒的ARP應(yīng)答信息包時,嚴(yán)重的網(wǎng)絡(luò)堵塞就會開始。由于網(wǎng)關(guān)MAC地址錯誤,所以從網(wǎng)絡(luò)中計(jì)算機(jī)發(fā)來的數(shù)據(jù)無法正常發(fā)到網(wǎng)關(guān),自然無法正常上網(wǎng)。這就造成了無法訪問外網(wǎng)的問題,另外由于很多時候網(wǎng)關(guān)還控制著我們的局域網(wǎng)LAN上網(wǎng),所以這時我們的LAN訪問也就出現(xiàn)問題了。
三,ARP欺騙的危害:
前面也提到了ARP欺騙可以造成內(nèi)部網(wǎng)絡(luò)的混亂,讓某些被欺騙的計(jì)算機(jī)無法正常訪問內(nèi)外網(wǎng),讓網(wǎng)關(guān)無法和客戶端正常通信。實(shí)際上他的危害還不僅僅如此,一般來說IP地址的沖突我們可以通過多種方法和手段來避免,而ARP協(xié)議工作在更低層,隱蔽性更高。系統(tǒng)并不會判斷ARP緩存的正確與否,無法像IP地址沖突那樣給出提示。而且很多黑客工具例如網(wǎng)絡(luò)剪刀手等,可以隨時發(fā)送ARP欺騙數(shù)據(jù)包和ARP恢復(fù)數(shù)據(jù)包,這樣就可以實(shí)現(xiàn)在一臺普通計(jì)算機(jī)上通過發(fā)送ARP數(shù)據(jù)包的方法來控制網(wǎng)絡(luò)中任何一臺計(jì)算機(jī)的上網(wǎng)與否,甚至還可以直接對網(wǎng)關(guān)進(jìn)行攻擊,讓所有連接網(wǎng)絡(luò)的計(jì)算機(jī)都無法正常上網(wǎng)。這點(diǎn)在以前是不可能的,因?yàn)槠胀ㄓ?jì)算機(jī)沒有管理權(quán)限來控制網(wǎng)關(guān),而現(xiàn)在卻成為可能,所以說ARP欺騙的危害是巨大的,而且非常難對付,非法用戶和惡意用戶可以隨時發(fā)送ARP欺騙和恢復(fù)數(shù)據(jù)包,這樣就增加了網(wǎng)絡(luò)管理員查找真兇的難度。那么難道就沒有辦法來阻止ARP欺騙問題的發(fā)生嗎?下篇文章筆者將就這些內(nèi)容進(jìn)行講解,讓我們真真正正的和ARP欺騙說再見。
本文由站河南北大青鳥校區(qū)整編而成,如需了解更多IT資訊類的文章、新聞、課程和學(xué)習(xí)技巧、就業(yè)案例、招生詳情等問題,可以對在線咨詢老師進(jìn)行一對一問答!
- 上一篇:一步一步解讀sqlmap是如何操作的
- 下一篇:php安全代碼小總結(jié)
推薦資訊
- 鄭州北大青鳥翔天信鴿啟能專業(yè)新... 2022-08-19
- php安全代碼小總結(jié)... 2013-06-19
- 安卓軟件開發(fā)勢不可擋,北大青鳥... 2012-10-13
- 做好以下九點(diǎn)會讓你在眾多求職者... 2012-11-13
- 鄭州北大青鳥拓寬大學(xué)生就業(yè)之路... 2014-04-03
熱點(diǎn)資訊
- 電腦溫度多少是正常的情況呢?... 2018-09-07
- 四個策略及簡單的防護(hù)方法... 2018-09-07
- 對硬盤進(jìn)行雙分區(qū)有什么好處... 2018-09-07
- 文件加密的幾個簡單方法... 2018-09-07
- 計(jì)算機(jī)小技巧,80G硬盤巧變變成... 2018-09-07