最全的ARP欺骗攻击原理深入分析(2)
来源:asp之家 发布时间:2009-12-24 08:42:00
2、ARP使用举例
我们先看一下linux下的arp命令(如果开始arp表中的内容为空的话,需要先对某台主机进行一个连接,例如ping一下目标主机来产生一个arp项):
d2server:/home/kerberos# arpAddress HWtype HWaddress Flags Mask Iface211.161.17.254 ether 00:04:9A:AD:1C:0A C eth0
Address:主机的IP地址
Hwtype:主机的硬件类型
Hwaddress:主机的硬件地址
Flags Mask:记录标志,“C”表示arp高速缓存中的条目,“M”表示静态的arp条目。
用“arp --a”命令可以显示主机地址与IP地址的对应表,也就是机器中所保存的arp缓存信息。这个高速缓存存放了最近Internet地址到硬件地址之间的映射记录。高速缓存中每一项的生存时间一般为20分钟,起始时间从被创建时开始算起。
d2server:/home/kerberos# arp -a(211.161.17.254) at 00:04:9A:AD:1C:0A [ether] on eth0
可以看到在缓存中有一条211.161.17.254相对应的arp缓存条目。
d2server:/home/kerberos# telnet 211.161.17.21Trying 211.161.17.21...Connected to 211.161.17.21.Escape character is '^]'.^].telnet>quitconnetion closed.
在执行上面一条telnet命令的同时,用tcpdump进行监听:
d2server:/home/kerberos# tcpdump -e dst host 211.161.17.21tcpdump: listening on eth0
我们将会听到很多包,我们取与我们arp协议相关的2个包:
1 0.0 00:D0:F8:0A:FB:83 FF:FF:FF:FF:FF:FF arp 60who has 211.161.17.21 tell d2server2 0.002344(0.0021)00:E0:3C:43:0D:24 00:D0:F8:0A:FB:83 arp 60arp reply 211.161.17.21 is at 00:E0:3C:43:0D:24
在第1行中,源端主机(d2server)的硬件地址是00:D0:F8:0A:FB:83。目的端主机的硬件地址是FF:FF:FF:FF:FF:FF,这是一个以太网广播地址。电缆上的每个以太网接口都要接收这个数据帧并对它进行处理。
第1行中紧接着的一个输出字段是arp,表明帧类型字段的值是0x0806,说明此数据帧是一个ARP请求或回答。
在每行中,单词后面的值60指的是以太网数据帧的长度。由于ARP请求或回答的数据帧长都是42字节(28字节的ARP数据,14字节的以太网帧头),因此,每一帧都必须加入填充字符以达到以太网的最小长度要求:60字节。
第1行中的下一个输出字段arp who-has表示作为ARP请求的这个数据帧中,目的I P地址是211.161.17.21的地址,发送端的I P地址是d2server的地址。tcpdump打印出主机名对应的默认I P地址。
从第2行中可以看到,尽管ARP请求是广播的,但是ARP应答的目的地址却是211.161.17.21(00:E0:3C:43:0D:24)。ARP应答是直接送到请求端主机的,而是广播的。tcpdump打印出arp reply的字样,同时打印出响应者的主机ip和硬件地址。
在每一行中,行号后面的数字表示tcpdump收到分组的时间(以秒为单位)。除第1行外,每行在括号中还包含了与上一行的时间差异(以秒为单位)。
这个时候我们再看看机器中的arp缓存:
d2server:/home/kerberos# arp -a (211.161.17.254) at 00:04:9A:AD:1C:0A [ether] on eth0 (211.161.17.21) at 00:E0:3C:43:0D:24 [ether] on eth0
arp高速缓存中已经增加了一条有关211.161.17.21的映射。
再看看其他的arp相关的命令:
d2server:/home/kerberos# arp -s 211.161.17.21 00:00:00:00:00:00d2server:/home/kerberos# arpAddress HWtype HWaddress Flags Mask Iface211.161.17.254 ether 00:04:9A:AD:1C:0A C eth0211.161.17.21 ether 00:00:00:00:00:00 CM eth0d2server:/home/kerberos# arp -a(211.161.17.254) at 00:04:9A:AD:1C:0A [ether] on eth0(211.161.17.21) at 00:00:00:00:00:00 [ether] PERM on eth0
可以看到我们用arp -s选项设置了211.161.17.21对应的硬件地址为00:00:00:00:00:00,而且这条映射的标志字段为CM,也就是说我们手工设置的arp选项为静态arp选项,它保持不变没有超时,不像高速缓存中的条目要在一定的时间间隔后更新。
如果想让手工设置的arp选项有超时时间的话,可以加上temp选项
d2server:/home/kerberos# arp -s 211.161.17.21 00:00:00:00:00:00 tempd2server:/home/kerberos# arp -a(211.161.17.254) at 00:04:9A:AD:1C:0A [ether] on eth0(211.161.17.21) at 00:00:00:00:00:00 [ether] on eth0d2server:/home/kerberos# arpAddress HWtype HWaddress Flags Mask Iface211.161.17.254 ether 00:04:9A:AD:1C:0A C eth0211.161.17.21 ether 00:00:00:00:00:00 C eth0
可以看到标志字段的静态arp标志“M”已经去掉了,我们手工加上的是一条动态条目。
请大家注意arp静态条目与动态条目的区别。
在不同的系统中,手工设置的arp静态条目是有区别的。在linux和win2000中,静态条目不会因为伪造的arp响应包而改变,而动态条目会改变。而在win98中,手工设置的静态条目会因为收到伪造的arp响应包而改变。
如果您想删除某个arp条目(包括静态条目),可以用下面的命令:
d2server:/home/kerberos# arp -d 211.161.17.21 d2server:/home/kerberos# arp -a(211.161.17.254) at 00:04:9A:AD:1C:0A [ether] on eth0(211.161.17.21) at on eth0
可以看到211.161.17.21的arp条目已经是不完整的了。
还有一些其他的命令,可以参考linux下的man文档:d2server:/home/kerberos# man arp
猜你喜欢
- 苍蝇不是贬低站长,更不是歧视站长,如果你抱着这样的心态来阅读本篇,建议你直接去泡MM,做你应该做的事情去。苍蝇历来被形容或比喻不好的事物,因
- 网络一个虚拟的空间,却笼络了这么多的人心.由此可以看出它的魔力.现在SP的萧条,使一些电影站点与音乐站点纷纷找买主,因为有的连服务器费用都赚
- Windows系统目录是Windows操作系统的重要目录,当我们访问这个目录时,系统会提示你这个目录的重要性,如果需要进入,只需要单击&am
- 在笔者进行这次企划之前曾经问过自己几个问题,杀毒软件横向测试到底有没有必要?对于这个问题我是相当坚定的,有必要!尽管如今网友们鉴别产品的本事
- 老白站长有感而发:“在采集过程中完成,丝毫不影响采集速度,经过这样修改的文章可以把文章内容20%-30%的部分都变成其他内容,但不会把文章内
- 在宽带非常普及的今天,越来越多的朋友都热衷于架设自己的网站,虽然给系统打上了最新的补丁,也安装了杀毒软件和防火墙,但是网站还是时不时被黑,何
- 很多电影网站,论坛或其它机构为了方便会员或成员上传电影或者交流文件,都允许用户的上传权限,因为只有允许这个权限,用户才可以上传文件,但这个权
- 我经常听到人们问:“我的站点有2%的客户转化率,这好吗?”他们应该问的是“为什么其他98%来访我站点的人不会转化成客户呢?”知道这个问题的答
- 【故障原因】局域网内有人使用ARP欺骗的木马程序(比如:传奇 * 的软件,某些传奇 * 中也被恶意加载了此程序)。【故障原理】要了解故障原理,我
- 了解缓存中毒攻击近来,网络上出现史上最强大的互联网漏洞——DNS缓存漏洞,此漏洞直指我们应用中互联网脆弱的安全系统,而安全性差的根源在于设计
- 通过行业网站平台进行网上营销,是很多企业首选的推广方式。尤其在家居行业。以家居网为代表的家居类门户网站,除了提供家居行业资讯之外,更可以使企
- 稳定使用多年的UCHOME最近经常出现问题,今天的怪事则是无论普通用户登录还是管理员登录管理,均显示登录成功,而后又自动跳转到重新登录页面。
- 内容摘要:虽然 LAMP 组合很不错,但是如果想要架设一台同时支持 PHP、ASP、ASP.NET、JSP、P
- 据台湾媒体报道,近日超人气的网路线上游戏《AION永恒 * 》,约200名玩家最近纷纷向北县消保官申诉,指控游戏公司未提出证据就将玩家永久停权
- 我们终于进入了这个社会。从此结束了被学校老师看管的生涯,结束了做父母乖宝贝的日子,也结束从父母兄长那里拿钱的幸福时光。我们从家里搬了出来,提
- 10月9日消息,网络时代人们最信任哪种广告?口碑才是最有力销售工具!尼尔森调查公司最近进行的一项在全球47个国家展开的调查显示:尽管广告平台
- Apache服务器的设置文件位于/usr/local/apache/conf/目录下,传统上使用三个配置文件httpd.conf,acces
- 实际上,没有一个人敢说谁是真正的优化高手,因为做SEO这块没有谁敢说他是高手,只能说是经验。每一个人的经验不同所有方法也不同,其实目的只有一
- UCenter Home 2.0后续版本持续改进创新已经成为广大站长密切关注的话题,为了让广大站长及时了解UCenter Home产品研发动
- 北京时间11月21日消息,据国外媒体报道,FriendFeed创始人、Gmail的创造者保罗-布克海特(Paul Buchheit)今天表示