36ARP欺骗

LOGOARP欺骗张小伟101070105信息管理学院目录ARP简介ARP欺骗ARP攻击ARP欺骗的防护受到ARP攻击后的解决办法ARP简介什么是ARPAddressResolutionProtocol即地址解析协议。ARP的作用太网交换设备并不能识别32位的IP地址，它们是以48位以太网地址（MAC地址）传输以太网数据包的。IP数据包在局域网内部传输时并不是靠IP地址而是靠MAC地址来识别目标的，因此IP地址与MAC地址之间就必须存在一种对应关系，而ARP协议的基本功能就是通过目标设备的IP地址，查询目标设备的MAC地址，以保证通信的顺利进行。ARP简介ARPCache在安装了以太网网络适配器（既网卡）或TCP/IP协议的计算机中，都有ARPCache用来保存IP地址以及经解析的MAC地址，如下图所示。ARP简介ARP工作原理（以A向C发送数据为例）1.A检查自己的ARPCache，是否有C的信息；2.若没找到，发送ARP广播请求，附带自身信息；3.C将A得信息加入自己的ARPCache；4.C回应A一个ARP信息；5.A将C得信息加入自己的ARPCache；6.A使用ARPCache中的信息向C发消息。ARP简介主机A与主机B通讯主机A与主机C通讯返回目录ARP欺骗ARP的缺陷ARP建立在信任局域网内所有结点的基础上。无状态的协议，不检查是否发过请求或是否是合法的应答，不只在发送请求后才接收应答。只要收到目标MAC是自己的ARP请求包或ARP应答包，就接受并缓存，将应答包里的MAC地址与IP对应的关系替换掉原有的ARP缓存表里的相应信息。这样，便为ARP欺骗提供了可能，恶意节点可以发布虚假的ARP报文从而影响网内结点的通信，甚至可以做“中间人”。ARP欺骗典型ARP欺骗类型之一欺骗主机作为“中间人”，被欺骗主机的数据都经它中转，以窃取被欺骗主机间的通讯数据。假设一网络环境中有三台主机分别为A、B、C•A-IP:192.168.10.1MAC:AA-AA-AA-AA-AA-AA•B-IP:192.168.10.2MAC:BB-BB-BB-BB-BB-BB•C-IP:192.168.10.3MAC:CC-CC-CC-CC-CC-CCB给A应答IP是192.168.10.3MAC是BB-BB-BB-BB-BB-BBB给C应答IP是192.168.10.1MAC是AA-AA-AA-AA-AA-AAB对A伪装成C，对C伪装成A，A和C都被欺骗了！双向欺骗，欺骗者必须同时对网关和主机进行欺骗。主机B截取主机A与主机C之间的数据通信。ARP欺骗ARP欺骗典型ARP欺骗类型之二截获网关数据，欺骗路由器的ARP表。它通知路由器一系列错误的内网MAC地址，并按照一定的频率不断进行，使真实的地址信息无法通过更新保存在路由器中，结果路由器的所有数据只能发送给错误的MAC地址，造成正常的计算机无法收到信息。ARP欺骗典型ARP欺骗类型之三伪造网关，欺骗内网计算机，造成断网。建立假网关，让被它欺骗的计算机向该假网关发数据，而不是发给路由器。这样无法通过正常的路由器途径上网，在计算机看来，就是上不了网，即网络掉线或断网了。返回目录ARP攻击ARP攻击主要是指ARP欺骗ARP攻击也包括ARP扫描（或称请求风暴）即在网络中产生大量ARP请求广播包，严重占用网络带宽资源，使网络阻塞。ARP扫描一般为ARP攻击的前奏。ARP攻击主要是存在于局域网中ARP攻击一般通过木马感染计算机ARP攻击ARP欺骗木马只需成功感染一台电脑，就可能导致整个局域网都无法上网，严重的甚至可能带来整个网络的瘫痪。受到ARP攻击的计算机一般会出现的现象：不断弹出“本机的0-255段硬件地址与网络中的0-255段地址冲突”的对话框。计算机不能正常上网，出现网络中断的症状。返回目录ARP欺骗的防护局域网内可采用静态ARPCache在网络内部将主机和网关做IP和MAC静态绑定。是预防ARP欺骗攻击的最有效的方法之一。静态绑定的IP和MAC地址条目不会被ARP请求和响应改变。缺点是需要极高的管理维护成本。ARPCache设置超时ARPCache表项一般有超时值，可以适当缩短。ARP欺骗的防护主动查询在某个正常的时刻，做一个IP和MAC对应的数据库，以后定期检查当前的IP和MAC对应关系是否正常。同时定期检测交换机的流量列表,查看丢包率。使用ARP防护软件具有ARP防护功能的路由器ARP欺骗的防护网络运营商可采用SuperVLAN技术在同一个子网中分化出多个SubVLAN，而将整个IP子网指定为一个SuperVLAN。所有SubVLAN都使用SuperVLAN的默认网关IP地址，不同的SubVLAN仍保留各自独立的广播域。子网中的所有主机只能与自己的默认网关通信。如果将交换机设备的每个端口化为一个SubVLAN，则实现了所有端口的隔离，也就避免了ARP欺骗。ARP欺骗的防护网络运营商也可采用PVLAN技术PVLAN即私有VLAN（PrivateVLAN），PVLAN采用两层VLAN隔离技术，只有上层VLAN全局可见，下层VLAN相互隔离。如果将交换机的每个端口化为一个（下层）VLAN，则实现了所有端口的隔离。PVLAN和SuperVLAN技术都可以实现端口隔离。返回目录受到ARP攻击后的解决办法1.故障现象及原因分析局域网内出现异常情况时，看看是否符合ARP欺骗的几种类型。2.故障诊断如发现符合ARP欺骗的情况，可尝试删除并重建本机ARPCache，如能恢复，则很可能正是受到了ARP攻击。在路由器（三次交换机）上查询ARP缓存表（一个MAC地址对应多个IP地址）受到ARP攻击后的解决办法3.故障处理可以采用ARP欺骗防护的几种办法，也可以使用专业防护软件或防火墙。4.找出ARP欺骗来源捕获局域网内所有主机的发送和接受到的数据包。若发现有某IP相应的主机行为异常，如不断发送ARP请求包，则该主机一般就是病毒源。5.清理ARP欺骗来源返回目录返回目录