ARP攻击&ip地址欺骗

ARP攻击什么是ARP攻击？利用ARP协议本身的缺陷进行的一种非法攻击，目的是为了在全交换环境下实现数据监听。通常这种攻击方式可能被病毒、木马或者有特殊目的攻击者使用。ARP攻击有什么危害？致使同网段的其他用户无法正常上网（频繁断网或者网速慢），泄露用户的敏感信息。ARP原理ARP（AddressResolutionProtocol）地址解析协议用于将计算机的网络地址（IP地址32位）转化为物理地址（MAC地址48位）[RFC826]ARP协议是属于链路层的协议，在以太网中的数据帧从一个主机到达网内的另一台主机是根据48位的以太网地址（硬件地址）来确定接口的，而不是根据32位的IP地址。内核（如驱动）必须知道目的端的硬件地址才能发送数据。点对点的连接是不需要ARP协议的。ARP原理主机名IP地址MAC地址主机A192.168.1.201-01-01-01-01-01主机B192.168.1.302-02-02-02-02-02网关C192.168.1.103-03-03-03-03-03主机D10.1.1.204-04-04-04-04-04网关E10.1.1.105-05-05-05-05-05ARP工作原理假如主机A要与主机B通讯，它首先会检查自己的ARP缓存中是否有192.168.1.3这个地址对应的MAC地址，如果没有它就会向局域网的广播地址发送ARP请求包，大致的意思是192.168.1.3的MAC地址是什么请告诉192.168.1.2,而广播地址会把这个请求包广播给局域网内的所有主机，但是只有192.168.1.3这台主机才会响应这个请求包，它会回应192.168.1.2一个arp包，大致的意思是192.168.1.3的MAC地址是02-02-02-02-02-02。这样的话主机A就得到了主机B的MAC地址，并且它会把这个对应的关系存在自己的ARP缓存表中。之后主机A与主机B之间的通讯就依靠两者缓存表里的MAC地址来通讯了，直到通讯停止后两分钟，这个对应关系才会被从表中删除。ARP工作原理假如主机A需要和主机D进行通讯，它首先会发现这个主机D的IP地址并不是自己同一个网段内的，因此需要通过网关来转发，这样的话它会检查自己的ARP缓存表里是否有网关192.168.1.1对应的MAC地址，如果没有就通过ARP请求获得，如果有就直接与网关通讯，然后再由网关C通过路由将数据包送到网关E，网关E收到这个数据包后发现是送给主机D（10.1.1.2）的，它就会检查自己的ARP缓存（没错，网关一样有自己的ARP缓存），看看里面是否有10.1.1.2对应的MAC地址，如果没有就使用ARP协议获得，如果有就是用该MAC地址与主机D通讯。ARP欺骗Arp欺骗原理主机在实现ARP缓存表的机制中存在一个不完善的地方，当主机收到一个ARP的应答包后，它并不会去验证自己是否发送过这个ARP请求，而是直接将应答包里的MAC地址与IP对应的关系替换掉原有的ARP缓存表里的相应信息。这就导致主机B截取主机A与主机D之间的数据通信成为可能ARP欺骗1.主机b向网关C发送ARP应答包说：我是A我的MAC地址是02-02-02-02-02-02，主机b同时向主机A发送ARP应答包说：我是C我的MAC地址是02-02-02-02-02-02B获得A发给C的数据，修改后发给C，同时获得C发给A的数据修改后发给A，实现了监听过程ARP攻击几个概念：Arp缓存表ARP攻击什么情况下表明局域网内有ARP攻击1.校园网登陆系统频繁掉线2.网速突然变慢3.使用ARP–a命令发现网关的MAC地址不停的变换4.使用sniffer软件发现局域网内存在大量的ARPreply包ARP攻击如何发现正在进行ARP攻击的主机1、在知道正确的网关MAC的情况下，通过ARP–a命令看到的另一个网关MAC就是攻击主机的MAC2、使用Sniffer软件抓包发现大量的以网关的IP地址发送的ARPreply包，包中指定的MAC就是攻击主机的MACARP攻击如何处理感染主机1.发现感染主机，第一时间拔掉网线2.建立静态ARP表3.禁止ARP1.可以通过ipconfiginterface–arp完全禁止ARP，这样，网卡不会发送ARP和接受ARP包。但是使用前提是使用静态的ARP表，如果不在ARP表中的计算机，将不能通信。这个方法不适用与大多数网络环境，因为这增加了网络管理的成本。但是对小规模的安全网络来说，还是有效可行的。ARP攻击目前已知的ARP病毒的传播途径1.通过外挂程序传播2.通过网页传播3.通过其他木马程序传播4.通过即时通讯软件传播（QQ、MSN）5.通过共享传播（网络共享、P2P软件共享）ARP攻击如何预防感染ARP病毒？1.关闭不必要的共享2.及时安装系统补丁程序3.安装防病毒软件并及时升级病毒库4.不随便运行来历不明的程序5.不访问一些来历不明的链接ip地址欺骗这是一种黑客的攻击形式，黑客使用一台计算机上网,而借用另外一台机器的IP地址,从而冒充另外一台机器与服务器打交道。防火墙可以识别这种ip欺骗。ip地址欺骗IP地址欺骗是指行动产生的IP数据包伪造的源IP地址，以便冒充其他系统或保护发件人的身分。欺骗也可以是指伪造或使用伪造的标题就以电子邮件或网络新闻-再次-保护发件人的身分和误导接收器或网络，以原产地和有效性发送数据。基本的IP地址欺骗Internet协议或IP是根本议定书发送/接收数据通过计算机网络和互联网。与网际网路通讯协定，每包发送或接收包含有关的资料的运作，例如来源地和目的地的数据包。与IP地址欺骗，信息放置在源字段是不实际的来源，该数据包。通过使用不同的地址在源领域的数据包，实际发件人可以使像包，被送往由另一台计算机上，从而反应目标计算机将被发送到假地址中指定的数据包-除非攻击者要重定向的反应，他自己的电脑。IP地址欺骗的影响IP地址欺骗是非常有益的，特别是在案件拒绝服务（DoS）攻击，如大量的信息被发送到目标计算机或系统没有肇事者关心的反应，目标系统。这种类型的攻击，特别是有效的，因为攻击数据包，似乎即将从不同的来源，因此，肇事者是难以追查。IP地址欺骗的影响IP地址欺骗是非常有益的，特别是在案件拒绝服务（DoS）攻击，如大量的信息被发送到目标计算机或系统没有肇事者关心的反应，目标系统。这种类型的攻击，特别是有效的，因为攻击数据包，似乎即将从不同的来源，因此，肇事者是难以追查。IP地址欺骗的影响黑客使用的IP地址欺骗，经常利用随机选择的IP地址从整个频谱的IP地址空间的同时，一些更先进的黑客仅使用未经注册的部分IP地址范围。IP地址欺骗，但是，是不那么有效，比使用僵尸网络为DoS攻击，因为它可以被监控互联网当局利用散射技术可以判断DoS攻击的基础上，有多少无效的IP地址使用的攻击。不过，它仍然是一个可行的替代办法，为黑客的攻击。IP地址欺骗的影响IP地址欺骗，也是一个非常有用的工具，在网络的渗透和克服网络安全保密措施。发生这种情况时，IP地址spoofers使用受信任的IP地址，内部网络，从而规避需要提供一个使用者名称或密码登录到该系统。这类攻击通常是基于一组特定的主机控制（如rhosts）是不安全的配置。IP地址欺骗的防御侵入过滤或包过滤传入的交通，从体制外的使用技术是一种有效方式，防IP地址欺骗，因为这种技术可以判断如果数据包是来自内部或外部的制度。因此，出口过滤也可以阻止假冒IP地址的数据包从退出制度和发动攻击，对其他网络。IP地址欺骗的防御上层协议，如TCP连接或传输控制协议，其中序列号码是用来建立了一个安全的连接与其他系统也是一个有效的方法，防IP地址欺骗。关闭源路由（松散和严格的）对您的网络路由器也可协助防止黑客利用欺骗的许多功能。源路由是一个技术的广泛使用，在过去，以防止一个单一的网络故障造成的重大网络故障，但目前的路由协议互联网上的今天使得这一切，但不必要的。