2022年ARP及攻击详解[归 .pdf

《2022年ARP及攻击详解[归 .pdf》由会员分享，可在线阅读，更多相关《2022年ARP及攻击详解[归 .pdf（5页珍藏版）》请在淘文阁 - 分享文档赚钱的网站上搜索。

1、ARP及攻击详解什么是 ARP ARP是地址转换协议（Address Resolution Protocol）的英文缩写，它是一个链路层协议， 工作在 OSI 模型的第二层， 在本层和硬件接口间进行联系，同时对上层（网络层） 提供服务。 二层的以太网交换设备并不能识别32 位的 IP 地址，它们是以48 位以太网地址（就是我们常说的MAC 地址）传输以太网数据包的。也就是说IP 数据包在局域网内部传输时并不是靠IP 地址而是靠MAC 地址来识别目标的，因此IP 地址与 MAC 地址之间就必须存在一种对应关系，而ARP协议就是用来确定这种对应关系的协议。Windows 操作系统，在命令行窗口输入

2、arp -a命令可查看本机当前的ARP缓存表， ARP缓存表保存的就是IP 地址与 MAC 地址的对应关系，如图1 所示：（图： 1）上图中， Internet Address指的就是 IP 地址， Physical Address指的就是MAC 地址 ARP欺骗原理说到 ARP的欺骗原理，就不得不先说下ARP协议的工作原理：ARP数据包根据接收对象不同，可分为两种：1. 广播包 (Broadcast)。广播包目的MAC 地址为 FF-FF-FF-FF-FF-FF ，交换机设备接收到广播包后，会把它转发给局域网内的所有主机。2. 非广播包 (Non-Broadcast)。非广播包后只有指定的主

3、机才能接收到。ARP数据包根据功能不同，也可以分为两种：1. ARP请求包 (ARP Request) 。 ARP请求包的作用是用于获取局域网内某IP 对应的 MAC 地址。2. ARP回复包 (ARP Reply) 。ARP回复包的作用是告知别的主机，本机的IP 地址和 MAC 是什么。广播的一般都是ARP请求包，非广播的一般都是ARP回复包。假设局域网内有以下两台主机，主机名、IP 地址、 MAC 地址分别如下：名师资料总结 - - -精品资料欢迎下载 - - - - - - - - - - - - - - - - - - 名师精心整理 - - - - - - - 第 1 页，共 5 页

4、- - - - - - - - - 主机名 IP 地址 MAC地址A 192.168.0.1 AA-AA-AA-AA-AA-AA B 192.168.0.2 BB-BB-BB-BB-BB-BB 当主机 A需要与主机B进行通讯时，它会先查一下本机的ARP缓存中，有没有主机B的 MAC地址。 如果有就可以直接通讯。如果没有， 主机 A就需要通过 ARP协议来获取主机B的 MAC地址，具体做法相当于主机A向局域网内所有主机喊一嗓子：“喂谁是192.168.0.2？我是 192.168.0.1，我的 MAC 地址是 AA-AA-AA-AA-AA-AA 。你的 MAC 地址是什么，快告诉我”，这时候主机

5、A发的数据包类型为：广播- 请求。当主机 B接收到来自主机A的“ARP广播 - 请求”数据包后， 它会先把主机A的 IP 地址和 MAC地址对应关系保存/更新到本机的ARP缓存表中， 然后它会给主机A发送一个“ ARP 非广播- 回复”数据包，其作用相当于告诉主机A ：“嘿，我是192.168.0.2，我的 MAC 地址是BB-BB-BB- BB-BB- BB ”。当主机A接收到主机B的回复后，它会把主机B的 IP 地址和 MAC地址对应关系保存/ 更新到本机的ARP缓存表中，之后主机A和 B就可以进行通讯了。从上述局域网主机通讯过程可以看出，主机在两种情况下会保存、更新本机的ARP缓存表，1

6、. 接收到“ ARP广播 - 请求”包时2. 接收到“ ARP非广播 -回复”包时从 ARP协议工作原理一文我们已经了解到，主机在两种情况下会保存、更新本机的ARP缓存表，1. 接收到“ ARP广播 - 请求”包时2. 接收到“ ARP非广播 -回复”包时从中我们可以看出， ARP协议是没有身份验证机制的，局域网内任何主机都可以随意伪造ARP数据包， ARP协议设计天生就存在严重缺陷。假设局域网内有以下三台主机（其中GW 指网关），主机名、IP 地址、 MAC 地址分别如下：主机名 IP 地址 MAC地址GW 192.168.0.1 01-01-01-01-01-01 PC02 192.168

7、.0.2 02-02-02-02-02-02 PC03 192.168.0.3 03-03-03-03-03-03 在正常情况下，主机PC02与 GW 之间的数据流向，以及它们各自的ARP缓存表如图2 所示：名师资料总结 - - -精品资料欢迎下载 - - - - - - - - - - - - - - - - - - 名师精心整理 - - - - - - - 第 2 页，共 5 页 - - - - - - - - - （图： 2）当网络爱好者，主机PC03出现之后，他为了达到某种目的，于是决定实施一次ARP欺骗攻击。 PC03首先向 PC02发送了一个ARP数据包，作用相当于告诉PC02 ：

8、“嘿，我是192.168.0.1，我的 MAC 地址是 03-03-03-03-03-03”，接着他也向GW 发送了一个ARP数据包，作用相当于告诉GW ：“嘿， 我是 192.168.0.2，我的 MAC 地址是 03-03-03-03-03-03”。于是，主机PC02与 GW 之间的数据流向，以及它们各自的ARP缓存表就变成如图3 所示：（图： 3）从上图我们可以看出，ARP欺骗之后，主机PC02与 GW 之间的所有网络数据都将流经PC03 ，即 PC03已经掌控了它们之间的数据通讯。以上就是一次ARP欺骗的实施过程，以及欺骗之后的效果。 ARP欺骗的种类及危害ARP欺骗根据欺骗对象的不用

9、可以分为三种，1. 只欺骗受害主机。实施欺骗后效果如下：图4 名师资料总结 - - -精品资料欢迎下载 - - - - - - - - - - - - - - - - - - 名师精心整理 - - - - - - - 第 3 页，共 5 页 - - - - - - - - - （图： 4）2. 只欺骗路由器、网关。实施欺骗后效果如下：图5 （图： 5）3. 双向欺骗，即前面两种欺骗方法的组合使用。实施欺骗后的效果如下：图6 名师资料总结 - - -精品资料欢迎下载 - - - - - - - - - - - - - - - - - - 名师精心整理 - - - - - - - 第 4 页，共 5 页 - - - - - - - - - （图： 6） ARP欺骗带来的危害可以分为几大类，1. 网络异常。具体表现为：掉线、IP 冲突等。2. 数据窃取。具体表现为：个人隐私泄漏（如MSN 聊天记录、邮件等）、账号被盗用（如QQ账号、银行账号等）。3. 数据篡改。具体表现为：访问的网页被添加了恶意内容，俗称“挂马”。4. 非法控制 / 名师资料总结 - - -精品资料欢迎下载 - - - - - - - - - - - - - - - - - - 名师精心整理 - - - - - - - 第 5 页，共 5 页 - - - - - - - - -