ARP攻擊原理

2021-10-13 07:31:28 字數 3294 閱讀 4971

但凡區域網存在arp攻擊,都說明網路存在「中間人」

在這個區域網裡面,pc1、pc2、pc3三颱主機共同連線到交換機sw1上面,對應3個介面port1/2/3。假設pc3這台主機安裝了arp攻擊軟體或遭受arp病毒,成為這個網路的攻擊者( hacker),pc1和pc2是如何通訊的。

pc1需要跟pc2通訊,通過arp請求包詢問pc2的mac位址,由於採用廣播形式,所以交換機將arp請求包從介面p1廣播到p2和pc3。(注∶交換機收到廣播/組播/未知幀都會其他介面泛洪)

pc2根據詢問資訊,返回arp單播回應包;此時pc3作為攻擊者,沒有返回arp包,但是處於"監聽"狀態,為後續攻擊做準備。

pc1和pc2根據arp問答,將各自的arp對映資訊(ip-mac)儲存在本地arp快取表。

交換機根據其學習機制,記錄mac位址對應的介面資訊,儲存在cam快取表(也稱為mac位址表)。交換機收到資料報時,會解封裝資料報,根據目標mac欄位進行**。

關於上面的**,我們要記住這些關鍵知識:

①主機通訊需要查詢arp表,而交換機通訊需要查詢cam表(路由器則查詢route表)。注:arp表:ipmac cam表:macport ( route表: routeport )

②交換機基於源mac位址學習,基於目的mac位址**。

③同一區域網內,攻擊者可以根據主機的arp廣播請求監聽其ip和mac資訊。

注:這裡是"被動監聽」,跟後面要談到的"主動掃瞄」,原理上有區分

接下來我們看pc3如何發起arp攻擊

正常情況下,若收到的arp請求不是給自己的,則直接丟棄;而這裡pc3 (hacker)在監聽之後,發起了arp回應包:我就是pc2 (ip2-mac3)。從拓撲可以出現,pc3明明是ip3對應mac3,很顯然這就是乙個arp欺騙行為。於此同時,pc2正常的arp回應包也交到了pc1手中,我們來看pc1接下來如何處理的:

pc1收到兩個arp回應包,內容分別如下:

③我是pc2,我的ip位址是ip2,我的mac位址是mac2;

③我是pc2,我的ip位址是ip2,我的mac位址是mac3;

網路協議裡條種表在處理快取資訊的方式:

要麼"先到先得」,要麼"後到優先"。

arp和cam表,就是遵循"後到優先"原則

dhcp表,則遵循"先到先得"原則。

只要持續不停發出arp欺騙包,就一定能夠覆蓋掉正常的arp回應包。穩健的arp嗅探/滲透工具,能在短時間內高併發做網路掃瞄(例如1秒鐘成千上百的資料報),能夠持續對外傳送欺騙包。

無論如何,當pc1和pc2這種"小白"使用者遇到pc3 (hacker)時,最終的結果一定是這樣的:

根據資料封裝規則,當pc1要跟pc2進行通訊時,無論是發生ping包還是傳送其他資料,首先要查詢arp表…然後在網路層打上源目ip,在鏈路層打上源目mac,然後將資料報傳送給交換機。交換機收到之後對資料進行解封裝,並且檢視cam表(基於目的mac**),由於目標mac3對應port3,所以交換機自然而然將其**給pc3。

就這樣,pc1本來要發給pc2的資料報,落到了pc3(hacker)手裡,這就完成了一次完整的arp攻擊。反過來,如果pc2要將資料報傳送給pc1,pc3仍然可以以同樣的arp欺騙實現攻擊,這就有了下面這張圖(pc3既欺騙了pc1,也欺騙了pc2)。

此時,pc1和pc2的通訊資料流被pc3攔截,形成了典型的"中間人攻擊"。

玫擊者既然操控了資料流…那麼直接斷開通訊是輕而易舉的…則斷網攻擊",例如,pc1發給pc2的資料在pc3這裡可以直接丟棄,而如果這裡的pc2是一台出口路由器(無線路由器),那就意味著pc1直接無法連上網際網路。

"斷網攻擊"顯然容易被發現,所以就有了更加常見的應用-「限速」。

任何基於明文傳輸的應用,都可以被竊取。例如,如果乙個**不是https協議,而是基於http明文傳輸,那麼當你登入這個**時,你的密碼就會被竊取。除了http (web應用),常見的還有telnet、ftp、pop3/smtp/imap(郵箱)等應用,都很容易洩露密碼。

hacker接入了乙個wifi網路,這個10.1.20.0/24便是所在的網段。剛進來乙個陌生網路,hacker只知道自己的ip資訊,例如p位址是10.1.20.253,閘道器位址是10.1.20.254,而這個區域網的其他裝置是什麼?有多少臺?位址分布是多少?hacker都不知道,接下來怎麼辦呢?是不是要直接發動arp攻擊了?不用這麼著急,咋們至少要先了解下這個網路,進行基本的掃瞄和踩點。這個時候通過arp工具對這個wifi網路進行arp掃瞄

進行"盲掃"或者"暴力掃瞄":反正我不知道網路到底有多少主機,那我就嘗試一下把整個網段全部問一遍得了。好比老師上課點名,把每個學生的桌位號念一遍,誰舉手就到勤,沒舉手就算逃課。

根據之前的資訊,我們知道00:08:ca:86:f8:0f其實就是hacker的mac位址,並且對應的真正的ip位址應該是10.1.20.253。而這裡很明顯是hacker在欺**域網其他主機,它對外聲稱:自己就是"所有人"。尤其是上面標紅的主機,我們已經知道是小公尺、思科、蘋果等裝置,但是hacker都宣告是自己!這樣做的意義在於覆蓋掉其他主機的arp快取表資訊,並生成錯誤的arp對映,最終將通訊流量交給hacker。當然,還有另外一種arp欺騙的做法: hacker告訴所有人,自己就是閘道器。因為其他主機訪問網際網路必經之路便是閘道器(出口路由器/無線路由器),通過這種方式,同樣可以擷取到使用者資料流。

arp快取表基於「後到優先"原則,ip與mac的對映資訊能被覆蓋;

arp攻擊基於偽造的arp回應包,黑客通過構造"錯位"的ip和mac對映,覆蓋主機的arp.表(也被稱為"arp毒化"),最終擷取使用者的資料流;

一旦遭受arp攻擊,賬號密碼都可能被竊取(如果通訊協議不是加密的);

通過wireshark資料報分析,我們掌握了真實網路中arp底層攻擊原理及資料報組成。

nat位址翻轉模式,可以訪問網際網路,共亨真機的ip位址,外部不知道有虛擬機器

bridge橋接模式,可以訪問網際網路,使用各自的ip位址,外部知道有虛擬機器

host-only主機模式,不可以訪問網際網路,外部不知道有虛擬機器

ARP攻擊原理

arp攻擊原理 msn yfydz no1 hotmail.com 0.arp 1.arp原理 乙太網上的機器通過ip協議通訊時,ip包從上層一直下傳到資料鏈路層,資料鏈路層就要構造以太幀了,以太頭中包括目的mac位址,源mac位址和協議,源位址是自己網絡卡的mac位址,可以得到,協議對於ip包來說...

安全 了解ARP的攻擊原理 阻止ARP攻擊

你是否遇到過在區域網中上網時會突然掉線,過一段時間後又會恢復正常。或者是客戶端狀態頻頻變紅,使用者頻繁斷網,ie瀏覽器頻繁出錯,以及一些常用軟體出現故障等。又或者是你所在的區域網是通過身份認證上網的,會突然出現可認證,但不能上網的現象 無法ping通閘道器 如果出現了上述狀況,那你要小心了,因為你很...

arp攻擊原理與防範

前段時間,終於狠下來給自己的手提換了個固態硬碟,那隨著而來的肯定是得裝個系統在那裡。反正要裝,就裝個新的來體驗一下吧,直接就裝了個win8.1的。win8.1的各種東西讓我折騰了好久,部分特徵讓我好糾結,不過介面還蠻不錯的。固態硬碟就是爽,飛一般的感覺,開啟vs一下子快多了,查閱文件,快多了。各種爽...