arp欺骗

目录•背景•ARP简介•ARP欺骗•ARP攻击•ARP欺骗的防护•受到ARP攻击后的解决办法•ARP欺骗的用途背景•在局域网上网，有时候会出现突然掉线，过一段时间后又会恢复正常的状况。有时候出现用户频繁断网，IE浏览器频繁出错，以及一些常用软件出现故障等。重启机器或在MS-DOS窗口下运行命令arp-d后，又可恢复上网。究其原因这是ARP欺骗攻击。•如果装有杀毒软件，则会拦截这些攻击，并予以提示。•那么，什么是ARP欺骗攻击？ARP简介•什么是ARPARP（AddressResolutionProtocol，地址解析协议）是一个位于TCP/IP协议栈中的底层协议，对应于数据链路层，负责将某个网络层（IP层，也就是相当于OSI的第三层）IP地址解析成对应的数据链路层（MAC层，也就是相当于OSI的第二层）MAC地址。•ARP的基本功能ARP协议的基本功能就是通过目标设备的IP地址，查询目标设备的MAC地址，以保证通信的进行。–IP数据包不能直接在实际网络中传输。–IP地址在物理网络中对目标机器的寻址，必须转换为物理地址，即MAC地址。–ARP协议的基本功能就是通过目标设备的IP地址，查询目标设备的MAC地址，以保证通信的顺利进行。ARP简介ARPcache（arp缓存表）中的每一行对应一个设备，每一个设备存储以下信息：•IF索引—物理端口(接口)。•物理地址—设备的物理地址。•IP地址—和物理地址对应的IP地址。•类型—这一行对应的表项类型。ARP简介•ARPcache的基本命令ARP缓存表是可以查看的，也可以添加和修改。在命令提示符下，输入“arp-a”就可以查看ARP缓存表中的内容了，如附图所示。用“arp-d”命令可以删除ARP表中所有的内容；用“arp-d+空格+指定ip地址”可以删除指定ip所在行的内容用“arp-s”可以手动在ARP表中指定IP地址与MAC地址的对应，类型为static(静态)，此项存在硬盘中，而不是缓存表，计算机重新启动后仍然存在，且遵循静态优于动态的原则，所以这个设置不对，可能导致无法上网。ARP简介•ARP工作原理（以A向C发送数据为例）1.A检查自己的ARPCache（ARP缓存表），是否有B的信息；2.若没找到，发送ARP广播请求，附带自身信息；3.C将A得信息加入自己的ARPCache；4.C回应A一个ARP信息；5.A将C得信息加入自己的ARPCache；6.A使用ARPCache中的信息向C发消息。ARP欺骗•ARP的缺陷–ARP建立在信任局域网内所有结点的基础上。–优点是高效，但不安全。–无状态（无状态是指协议对于事务处理没有记忆能力）的协议，不检查是否发过请求或是否是合法的应答，不只在发送请求后才接收应答。–只要收到目标MAC是自己的ARP请求包或ARP应答包，就接受并缓存。–这样，便为ARP欺骗提供了可能，恶意节点可以发布虚假的ARP报文从而影响网内结点的通信，甚至可以做“中间人”。ARP欺骗•ARP欺骗，是针对以太网地址解析协议（ARP）的一种攻击技术。此种攻击可让攻击者取得局域网上的数据封包甚至可篡改封包，且可让网络上特定计算机或所有计算机无法正常连接。ARP欺骗•ARP欺骗原理•ARP欺骗就是通过伪造IP地址和MAC地址实现ARP欺骗，能够在网络中产生大量的ARP通信量使网络阻塞，攻击者只要持续不断的发出伪造的ARP响应包就能更改目标主机ARP缓存中的IP-MAC条目，造成网络中断或中间人攻击。•ARP欺骗主要是存在于局域网网络中，局域网中若有一台计算机感染ARP木马，则感染该ARP木马的系统将会试图通过“ARP欺骗”手段截获所在网络内其它计算机的通信信息，并因此造成网内其它计算机的通信故障。ARP欺骗•某机器A要向主机B发送报文，会查询本地的ARP缓存表，找到B的IP地址对应的MAC地址后，就会进行数据传输。如果未找到，则A广播一个ARP请求报文（携带主机A的IP地址ip1——物理地址m1），请求IP地址为ip2的主机B回答物理地址m2。网上所有主机包括B都收到ARP请求，但只有主机B识别自己的IP地址，于是向A主机发回一个ARP响应报文。其中就包含有B的MAC地址，A接收到B的应答后，就会更新本地的ARP缓存。接着使用这个MAC地址发送数据（由网卡附加MAC地址）。因此，本地高速缓存的这个ARP表是本地网络流通的基础，而且这个缓存是动态的。C为攻击者，检测到A、B之间有请求包，则C就会像主机A或B发送一个自己构造的数据包。使A或B拥有错误的本地缓存表ARP欺骗A、B、C的ip地址与mac地址•A——IP地址：1.1.1.1MAC地址：1A:1A:1A:1A:1A:1A（与B通信）•B——IP地址：2.2.2.2MAC地址：2B:2B:2B:2B:2B:2B（与A通信）•C——IP地址：3.3.3.3MAC地址：3C:3C:3C:3C:3C:3C（攻击者）A发送arp请求数据包内的内容•源IP地址源MAC地址目的IP地址目的MAC类型•1.1.1.11A:1A:1A:1A:1A:1A2.2.2.2FF:FF:FF:FF:FF:FF请求B回应arp请求数据包内容•源IP地址源MAC地址目的IP地址目的MAC类型•2.2.2.22B:2B:2B:2B:2B:2B1.1.1.11A:1A:1A:1A:1A:1A响应C篡改后的数据包内容•源IP地址源MAC地址目的IP地址目的MAC类型•2.2.2.23C:3C:3C:3C:3C:3C1.1.1.11A:1A:1A:1A:1A:1A应答ARP欺骗•典型ARP欺骗类型之一–欺骗主机作为“中间人”，被欺骗主机的数据都经它中转，以窃取被欺骗主机间的通讯数据。–假设一网络环境中有三台主机分别为A、B、C•A-IP:192.168.10.1MAC:AA-AA-AA-AA-AA-AA•B-IP:192.168.10.2MAC:BB-BB-BB-BB-BB-BB•C-IP:192.168.10.3MAC:CC-CC-CC-CC-CC-CCB给A应答IP是192.168.10.3MAC是BB-BB-BB-BB-BB-BBB给C应答IP是192.168.10.1MAC是BB-BB-BB-BB-BB-BBB对A伪装成C，对C伪装成A，A和C都被欺骗了！ARP欺骗•典型ARP欺骗类型之二–截获网关数据，欺骗路由器的ARP表。–它通知路由器一系列错误的内网MAC地址，并按照一定的频率不断进行，使真实的地址信息无法通过更新保存在路由器中，结果路由器的所有数据只能发送给错误的MAC地址，造成正常的计算机无法收到信息。ARP欺骗•典型ARP欺骗类型之三–伪造网关，欺骗内网计算机，造成断网。–建立假网关，让被它欺骗的计算机向该假网关发数据，而不是发给路由器。这样无法通过正常的路由器途径上网，在计算机看来，就是上不了网，即网络掉线或断网了。（当局域网内某台主机运行ARP欺骗的木马程序时，会欺骗局域网内所有主机和路由器，让所有上网的流量必须经过病毒主机。其他用户原来直接通过路由器上网现在转由通过病毒主机上网，切换的时候用户会断一次线。）ARP欺骗•实验中我们借用WinArpAttacker3.70软件来实现arp欺骗过程。一、实验过程1.安装并打开WinArpAttacker3.70，主界面如图所示：ARP欺骗•Winarpattacker的基本功能扫描：ARP欺骗•攻击：ARP欺骗•设置：ARP欺骗•2.扫描网段，如图：ARP欺骗ARP欺骗ARP欺骗ARP攻击•ARP攻击主要是指ARP欺骗•ARP攻击也包括ARP扫描（或称请求风暴）–即在网络中产生大量ARP请求广播包，严重占用网络带宽资源，使网络阻塞。–ARP扫描一般为ARP攻击的前奏。•ARP攻击主要是存在于局域网中•ARP攻击一般通过木马感染计算机ARP攻击•ARP欺骗木马只需成功感染一台电脑，就可能导致整个局域网都无法上网，严重的甚至可能带来整个网络的瘫痪。•受到ARP攻击的计算机一般会出现的现象：–不断弹出“本机的0-255段硬件地址与网络中的0-255段地址冲突”的对话框。–计算机不能正常上网，出现网络中断的症状ARP欺骗的防护•局域网内可采用静态ARPCache–在网络内部将主机和网关做IP和MAC静态绑定。–是预防ARP欺骗攻击的最有效的方法之一。–静态绑定的IP和MAC地址条目不会被ARP请求和响应改变。–缺点是需要极高的管理维护成本。•ARPCache设置超时–ARPCache表项一般有超时值，可以适当缩短。缩短可以有效的防止ARP表的溢出.ARP欺骗的防护•主动查询–在某个正常的时刻，做一个IP和MAC对应的数据库，以后定期检查当前的IP和MAC对应关系是否正常。–同时定期检测交换机的流量列表,查看丢包率。•使用ARP防护软件•具有ARP防护功能的路由器ARP欺骗的防护•网络运营商可采用SuperVLAN技术–在同一个子网中分化出多个SubVLAN，而将整个IP子网指定为一个SuperVLAN。–所有SubVLAN都使用SuperVLAN的默认网关IP地址，不同的SubVLAN仍保留各自独立的广播域。–子网中的所有主机只能与自己的默认网关通信。–如果将交换机设备的每个端口化为一个SubVLAN，则实现了所有端口的隔离，也就避免了ARP欺骗。ARP欺骗的防护•网络运营商也可采用PVLAN技术–PVLAN即私有VLAN（PrivateVLAN），PVLAN采用两层VLAN隔离技术，只有上层VLAN全局可见，下层VLAN相互隔离。–如果将交换机或IPDSLAM设备的每个端口化为一个（下层）VLAN，则实现了所有端口的隔离。–PVLAN和SuperVLAN技术都可以实现端口隔离。但PVLAN是为了节省VLAN，而SuperVLAN的初衷是节省IP地址。受到ARP攻击后的解决办法1.故障现象及原因分析–局域网内出现异常情况时，看看是否符合ARP欺骗的几种类型。2.故障诊断–如发现符合ARP欺骗的情况，可尝试删除并重建本机ARPCache，如能恢复，则很可能正是受到了ARP攻击。受到ARP攻击后的解决办法3.故障处理–可以采用ARP欺骗防护的几种办法，也可以使用专业防护软件或防火墙。4.找出ARP欺骗来源–捕获局域网内所有主机的发送和接受到的数据包。若发现有某IP相应的主机行为异常，如不断发送ARP请求包，则该主机一般就是病毒源。5.清理ARP欺骗来源ARP欺骗的用途•APR欺骗造成损失很大，但也可以利用其特点做正当的用途。•其一，在一个需要登入的网络中，让未登入的计算机将其浏览网页强制转向到登入页面，以便登入后才可使用网络。•另外，有些设有备援机制的网络设备或服务器，亦需要利用ARP欺骗以在设备出现故障时将讯务导到备用的设备上。