位置：首页>> 网站运营>> ARP攻击与防护完全手册（2）

ARP攻击与防护完全手册（2）

　来源：asp之家　发布时间：2009-12-24 09:19:00　

标签：ARP攻击,手册,arp

二、常见ARP攻击类型

个人认为常见的ARP攻击为两种类型：ARP扫描和ARP欺骗。

2.1ARP扫描（ARP请求风暴）

通讯模式（可能）：

请求 -》请求 -》请求 -》请求 -》请求 -》请求 -》应答 -》请求 -》请求 -》请求。..

描述：

网络中出现大量ARP请求广播包，几乎都是对网段内的所有主机进行扫描。大量的ARP请求广播可能会占用网络带宽资源；ARP扫描一般为ARP攻击的前奏。

出现原因（可能）：

病毒程序，侦听程序，扫描程序。

如果网络分析软件部署正确，可能是我们只镜像了交换机上的部分端口，所以大量ARP请求是来自与非镜像口连接的其它主机发出的。

如果部署不正确，这些ARP请求广播包是来自和交换机相连的其它主机。

2.2ARP欺骗

ARP协议并不只在发送了ARP请求才接收ARP应答。当计算机接收到ARP应答数据包的时候，就会对本地的ARP缓存进行更新，将应答中的IP和MAC地址存储在ARP缓存中。所以在网络中，有人发送一个自己伪造的ARP应答，网络可能就会出现问题。这可能就是协议设计者当初没考虑到的！

2.2.1欺骗原理

假设一个网络环境中，网内有三台主机，分别为主机A、B、C。主机详细信息如下描述：

A的地址为：IP：192.168.10.1 MAC： AA-AA-AA-AA-AA-AA

B的地址为：IP：192.168.10.2 MAC： BB-BB-BB-BB-BB-BB

C的地址为：IP：192.168.10.3 MAC： CC-CC-CC-CC-CC-CC

正常情况下A和C之间进行通讯，但是此时B向A发送一个自己伪造的ARP应答，而这个应答中的数据为发送方IP地址是192.168.10.3（C的IP地址），MAC地址是BB-BB-BB-BB-BB-BB（C的MAC地址本来应该是CC-CC-CC-CC-CC-CC，这里被伪造了）。当A接收到B伪造的ARP应答，就会更新本地的ARP缓存（A被欺骗了），这时B就伪装成C了。同时，B同样向C发送一个ARP应答，应答包中发送方IP地址四192.168.10.1（A的IP地址），MAC地址是BB-BB-BB-BB-BB-BB（A的MAC地址本来应该是AA-AA-AA-AA-AA-AA），当C收到B伪造的ARP应答，也会更新本地ARP缓存（C也被欺骗了），这时B就伪装成了A。这样主机A和C都被主机B欺骗，A和C之间通讯的数据都经过了B。主机B完全可以知道他们之间说的什么：）。这就是典型的ARP欺骗过程。

注意：一般情况下，ARP欺骗的某一方应该是网关。

第一页上一页 1

3 4 5 下一页

投稿

ARP攻击与防护完全手册（2）

猜你喜欢