网站运营
位置:首页>> 网站运营>> ARP攻击与防护完全手册(2)

ARP攻击与防护完全手册(2)

 来源:asp之家 发布时间:2009-12-24 09:19:00 

标签:ARP攻击,手册,arp

二、常见ARP攻击类型

个人认为常见的ARP攻击为两种类型:ARP扫描和ARP欺骗。

2.1ARP扫描(ARP请求风暴)

通讯模式(可能):

请求 -》 请求 -》 请求 -》 请求 -》 请求 -》 请求 -》 应答 -》 请求 -》 请求 -》 请求。..

描述:

网络中出现大量ARP请求广播包,几乎都是对网段内的所有主机进行扫描。大量的ARP请求广播可能会占用网络带宽资源;ARP扫描一般为ARP攻击的前奏。

出现原因(可能):

病毒程序,侦听程序,扫描程序。

如果网络分析软件部署正确,可能是我们只镜像了交换机上的部分端口,所以大量ARP请求是来自与非镜像口连接的其它主机发出的。

如果部署不正确,这些ARP请求广播包是来自和交换机相连的其它主机。

2.2ARP欺骗

ARP协议并不只在发送了ARP请求才接收ARP应答。当计算机接收到ARP应答数据包的时候,就会对本地的ARP缓存进行更新,将应答中的IP和MAC地址存储在ARP缓存中。所以在网络中,有人发送一个自己伪造的ARP应答,网络可能就会出现问题。这可能就是协议设计者当初没考虑到的!

2.2.1欺骗原理

假设一个网络环境中,网内有三台主机,分别为主机A、B、C。主机详细信息如下描述:

A的地址为:IP:192.168.10.1 MAC: AA-AA-AA-AA-AA-AA

B的地址为:IP:192.168.10.2 MAC: BB-BB-BB-BB-BB-BB

C的地址为:IP:192.168.10.3 MAC: CC-CC-CC-CC-CC-CC

正常情况下A和C之间进行通讯,但是此时B向A发送一个自己伪造的ARP应答,而这个应答中的数据为发送方IP地址是192.168.10.3(C的IP地址),MAC地址是BB-BB-BB-BB-BB-BB(C的MAC地址本来应该是CC-CC-CC-CC-CC-CC,这里被伪造了)。当A接收到B伪造的ARP应答,就会更新本地的ARP缓存(A被欺骗了),这时B就伪装成C了。同时,B同样向C发送一个ARP应答,应答包中发送方IP地址四192.168.10.1(A的IP地址),MAC地址是BB-BB-BB-BB-BB-BB(A的MAC地址本来应该是AA-AA-AA-AA-AA-AA),当C收到B伪造的ARP应答,也会更新本地ARP缓存(C也被欺骗了),这时B就伪装成了A。这样主机A和C都被主机B欺骗,A和C之间通讯的数据都经过了B。主机B完全可以知道他们之间说的什么:)。这就是典型的ARP欺骗过程。

注意:一般情况下,ARP欺骗的某一方应该是网关。

第一页 上一页 1
2
3 4 5 下一页
0
投稿

猜你喜欢

手机版 网站运营 asp之家 www.aspxhome.com