1. 首頁 > 生活經驗 > >

ARP攻擊是什么意思 arp攻擊怎么解決

知識百科經驗分享


ARP攻擊是什么意思?ARP攻擊,是針對以太網地址解析協議(ARP)的一種攻擊技術 。此種攻擊可讓攻擊者取得局域網上的數據封包甚至可篡改封包,且可讓網絡上特定計算機或所有計算機無法正常連接 。
ARP攻擊僅能在以太網(局域網如:機房、內網、公司網絡等)進行 。
無法對外網(互聯網、非本區域內的局域網)進行攻擊 。
ARP攻擊就是通過偽造IP地址和MAC地址實現ARP欺騙,能夠在網絡中產生大量的ARP通信量使網絡阻塞,攻擊者只要持續不斷的發出偽造的ARP響應包就能更改目標主機ARP緩存中的IP-MAC條目,造成網絡中斷或中間人攻擊 。
ARP攻擊主要是存在于局域網網絡中,局域網中若有一臺計算機感染ARP木馬,則感染該ARP木馬的系統將會試圖通過“ARP欺騙”手段截獲所在網絡內其它計算機的通信信息,并因此造成網內其它計算機的通信故障 。
某機器A要向主機B發送報文,會查詢本地的ARP緩存表,找到B的IP地址對應的MAC地址后,就會進行數據傳輸 。如果未找到,則A廣播一個ARP請求報文(攜帶主機A的IP地址Ia--物理地址Pa),請求IP地址為Ib的主機B回答物理地址Pb 。網上所有主機包括B都收到ARP請求,但只有主機B識別自己的IP地址,于是向A主機發回一個ARP響應報文 。其中就包含有B的MAC地址,A接收到B的應答后,就會更新本地的ARP緩存 。接著使用這個MAC地址發送數據(由網卡附加MAC地址) 。因此,本地高速緩存的這個ARP表是本地網絡流通的基礎,而且這個緩存是動態的 。
ARP欺騙木馬的中毒現象表現為:使用局域網時會突然掉線,過一段時間后又會恢復正常 。比如客戶端狀態頻頻變紅,用戶頻繁斷網,IE瀏覽器頻繁出錯,以及一些常用軟件出現故障等 。如果局域網中是通過身份認證上網的,會突然出現可認證,但不能上網的現象(無法ping通網關),重啟機器或在MS-DOS窗口下運行命令arp
-d后,又可恢復上網 。
ARP欺騙木馬只需成功感染一臺電腦,就可能導致整個局域網都無法上網,嚴重的甚至可能帶來整個網絡的癱瘓 。該木馬發作時除了會導致同一局域網內的其他用戶上網出現時斷時續的現象外,還會竊取用戶密碼 。如盜取QQ密碼、盜取各種網絡游戲密碼和賬號去做金錢交易,盜竊網上銀行賬號來做非法交易活動等,這是木馬的慣用伎倆,給用戶造成了很大的不便和巨大的經濟損失 。
基于ARP協議的這一工作特性,黑客向對方計算機不斷發送有欺詐性質的ARP數據包,數據包內包含有與當前設備重復的Mac地址,使對方在回應報文時,由于簡單的地址重復錯誤而導致不能進行正常的網絡通信 。一般情況下,受到ARP攻擊的計算機會出現兩種現象:
1.不斷彈出“本機的0-255段硬件地址與網絡中的0-255段地址沖突”的對話框 。
2.計算機不能正常上網,出現網絡中斷的癥狀 。
因為這種攻擊是利用ARP請求報文進行“欺騙”的,所以防火墻會誤以為是正常的請求數據包,不予攔截 。因此普通的防火墻很難抵擋這種攻擊 。
什么是ARP攻擊?1.首先給大家說說什么是ARP
ARP(Address Resolution Protocol)是地址解析協議,是一種將IP地址轉化成物理地址的協議 。從IP地址到物理地址的映射有兩種方式:表格方式和非表格方式 。ARP具體說來就是將網絡層(IP層,也就是相當于OSI的第三層)地址解析為數據連接層(MAC層,也就是相當于OSI的第二層)的MAC地址 。
ARP原理:某機器A要向主機B發送報文,會查詢本地的ARP緩存表,找到B的IP地址對應的MAC地址后,就會進行數據傳輸 。如果未找到,則廣播A一個ARP請求報文(攜帶主機A的IP地址Ia——物理地址Pa),請求IP地址為Ib的主機B回答物理地址Pb 。網上所有主機包括B都收到ARP請求,但只有主機B識別自己的IP地址,于是向A主機發回一個ARP響應報文 。其中就包含有B的MAC地址,A接收到B的應答后,就會更新本地的ARP緩存 。接著使用這個MAC地址發送數據(由網卡附加MAC地址) 。因此,本地高速緩存的這個ARP表是本地網絡流通的基礎,而且這個緩存是動態的 。
ARP協議并不只在發送了ARP請求才接收ARP應答 。當計算機接收到ARP應答數據包的時候,就會對本地的ARP緩存進行更新,將應答中的IP和MAC地址存儲在ARP緩存中 。因此,當局域網中的某臺機器B向A發送一個自己偽造的ARP應答,而如果這個應答是B冒充C偽造來的,即IP地址為C的IP,而MAC地址是偽造的,則當A接收到B偽造的ARP應答后,就會更新本地的ARP緩存,這樣在A看來C的IP地址沒有變,而它的MAC地址已經不是原來那個了 。由于局域網的網絡流通不是根據IP地址進行,而是按照MAC地址進行傳輸 。所以,那個偽造出來的MAC地址在A上被改變成一個不存在的MAC地址,這樣就會造成網絡不通,導致A不能Ping通C!這就是一個簡單的ARP欺騙 。
2.網絡執法官利用的就是這個原理!
在網絡執法官中,要想限制某臺機器上網,只要點擊"網卡"菜單中的"權限",選擇指定的網卡號或在用戶列表中點擊該網卡所在行,從右鍵菜單中選擇"權限",在彈出的對話框中即可限制該用戶的權限 。對于未登記網卡,可以這樣限定其上線:只要設定好所有已知用戶(登記)后,將網卡的默認權限改為禁止上線即可阻止所有未知的網卡上線 。使用這兩個功能就可限制用戶上網 。其原理是通過ARP欺騙發給被攻擊的電腦一個假的網關IP地址對應的MAC,使其找不到網關真正的MAC地址,這樣就可以禁止其上網 。
3.修改MAC地址突破網絡執法官的封鎖
根據上面的分析,我們不難得出結論:只要修改MAC地址,就可以騙過網絡執法官的掃描,從而達到突破封鎖的目的 。下面是修改網卡MAC地址的方法:
在"開始"菜單的"運行"中輸入regedit,打開注冊表編輯器,展開注冊表到:HKEY_LOCAL_
MACHINE/System/CurrentControl
Set/Control/Class/{4D36E972-E325-11CE-BFC1-08002BE103
18}子鍵,在子鍵下的0000,0001,0002等分支中查找DriverDesc(如果你有一塊以上的網卡,就有0001,0002......在這里保存了有關你的網卡的信息,其中的DriverDesc內容就是網卡的信息描述,比如我的網卡是Intel 210
41 based Ethernet Controller),在這里假設你的網卡在0000子鍵 。
在0000子鍵下添加一個字符串,命名為"NetworkAddress",鍵值為修改后的MAC地址,要求為連續的12個16進制數 。然后在"0000"子鍵下的NDI/params中新建一項名為NetworkAddress的子鍵,在該子鍵下添加名為"default"的字符串,鍵值為修改后的MAC地址 。
在NetworkAddress的子鍵下繼續建立名為"ParamDesc"的字符串,其作用為指定Network
Address的描述,其值可為"MAC Address" 。這樣以后打開網絡鄰居的"屬性",雙擊相應的網卡就會發現有一個"高級"設置,其下存在MAC Address的選項,它就是你在注冊表中加入的新項"NetworkAddress",以后只要在此修改MAC地址就可以了 。
關閉注冊表,重新啟動,你的網卡地址已改 。打開網絡鄰居的屬性,雙擊相應網卡項會發現有一個MAC Address的高級設置項,用于直接修改MAC地址 。
MAC地址也叫物理地址、硬件地址或鏈路地址,由網絡設備制造商生產時寫在硬件內部 。這個地址與網絡無關,即無論將帶有這個地址的硬件(如網卡、集線器、路由器等)接入到網絡的何處,它都有相同的MAC地址,MAC地址一般不可改變,不能由用戶自己設定 。MAC地址通常表示為12個16進制數,每2個16進制數之間用冒號隔開,如:08:00:20:0A:8C:6D就是一個MAC地址,其中前6位16進制數,08:00:20代表網絡硬件制造商的編號,它由IEEE分配,而后3位16進制數0A:8C:6D代表該制造商所制造的某個網絡產品(如網卡)的系列號 。每個網絡制造商必須確保它所制造的每個以太網設備都具有相同的前三字節以及不同的后三個字節 。這樣就可保證世界上每個以太網設備都具有唯一的MAC地址 。
另外,網絡執法官的原理是通過ARP欺騙發給某臺電腦有關假的網關IP地址所對應的MAC地址,使其找不到網關真正的MAC地址 。因此,只要我們修改IP到MAC的映射就可使網絡執法官的ARP欺騙失效,就隔開突破它的限制 。你可以事先Ping一下網關,然后再用ARP -a命令得到網關的MAC地址,最后用ARP -s IP 網卡MAC地址命令把網關的IP地址和它的MAC地址映射起來就可以了 。
4.找到使你無法上網的對方
解除了網絡執法官的封鎖后,我們可以利用Arpkiller的"Sniffer殺手"掃描整個局域網IP段,然后查找處在"混雜"模式下的計算機,就可以發現對方了 。具體方法是:運行Arpkiller(圖2),然后點擊"Sniffer監測工具",在出現的"Sniffer殺手"窗口中輸入檢測的起始和終止IP(圖3),單擊"開始檢測"就可以了 。
檢測完成后,如果相應的IP是綠帽子圖標,說明這個IP處于正常模式,如果是紅帽子則說明該網卡處于混雜模式 。它就是我們的目標,就是這個家伙在用網絡執法官在搗亂 。
什么叫arp攻擊
分類:電腦/網絡 >> 電腦常識
問題描述:
同上
解析:
在局域網中,通過ARP協議來完成IP地址轉換為第二層物理地址(即MAC地址)的 。ARP協議對網絡安全具有重要的意義 。通過偽造IP地址和MAC地址實現ARP欺騙,能夠在網絡中產生大量的ARP通信量使網絡阻塞 。
ARP協議是“Address Resolution Protocol”(地址解析協議)的縮寫 。在局域網中,網絡中實際傳輸的是“幀”,幀里面是有目標主機的MAC地址的 。在以太網中,一個主機要和另一個主機進行直接通信,必須要知道目標主機的MAC地址 。但這個目標MAC地址是如何獲得的呢?它就是通過地址解析協議獲得的 。所謂“地址解析”就是主機在發送幀前將目標IP地址轉換成目標MAC地址的過程 。ARP協議的基本功能就是通過目標設備的IP地址,查詢目標設備的MAC地址,以保證通信的順利進行 。
1、ARP攻擊
針對ARP的攻擊主要有兩種,一種是DOS,一種是Spoof 。
ARP欺騙往往應用于一個內部網絡,我們可以用它來擴大一個已經存在的網絡安全漏洞 。
如果你可以入侵一個子網內的機器,其它的機器安全也將受到ARP欺騙的威脅 。同樣,利用APR的DOS甚至能使整個子網癱瘓 。
2、對ARP攻擊的防護
防止ARP攻擊是比較困難的,修改協議也是不大可能 。但是有一些工作是可以提高本地網絡的安全性 。
首先,你要知道,如果一個錯誤的記錄 *** 入ARP或者IP route表,可以用兩種方式來刪除 。
a. 使用arp –d host_entry
b. 自動過期,由系統刪除
這樣,可以采用以下的一些方法:
1). 減少過期時間
#ndd –set /dev/arp arp_cleanup_interval 60000
#ndd -set /dev/ip ip_ire_flush_interval 60000
60000=60000毫秒 默認是300000
加快過期時間,并不能避免攻擊,但是使得攻擊更加困難,帶來的影響是在網絡中會大量的出現ARP請求和回復,請不要在繁忙的網絡上使用 。
2). 建立靜態ARP表
這是一種很有效的方法,而且對系統影響不大 。缺點是破壞了動態ARP協議 ??梢越⑷缦碌奈募?。
test.nsfocus 08:00:20:ba:a1:f2
user. nsfocus 08:00:20:ee:de:1f
使用arp –f filename加載進去,這樣的ARP映射將不會過期和被新的ARP數據刷新,除非使用arp –d才能刪除 。但是一旦合法主機的網卡硬件地址改變,就必須手工刷新這個arp文件 。這個方法,不適合于經常變動的網絡環境 。
3).禁止ARP
可以通過ifconfig interface –arp 完全禁止ARP,這樣,網卡不會發送ARP和接受ARP包 。但是使用前提是使用靜態的ARP表,如果不在apr表中的計算機,將不能通信 。這個方法不適用與大多數網絡環境,因為這增加了網絡管理的成本 。但是對小規模的安全網絡來說,還是有效和可行的
什么是ARP攻擊?~~~
在局域網中,通過ARP協議來完成IP地址轉換為第二層物理地址(即MAC地址)的 。ARP協議對網絡安全具有重要的意義 。通過偽造IP地址和MAC地址實現ARP欺騙,能夠在網絡中產生大量的ARP通信量使網絡阻塞 。
在局域網中,通過ARP協議來完成IP地址轉換為第二層物理地址(即MAC地址)的 。ARP協議對網絡安全具有重要的意義 。通過偽造IP地址和MAC地址實現ARP欺騙,能夠在網絡中產生大量的ARP通信量使網絡阻塞或者實現“man in the middle” 進行ARP重定向和嗅探攻擊 。
用偽造源MAC地址發送ARP響應包,對ARP高速緩存機制的攻擊 。
每個主機都用一個ARP高速緩存存放最近IP地址到MAC硬件地址之間的映射記錄 。MS Windows高速緩存中的每一條記錄(條目)的生存時間一般為60秒,起始時間從被創建時開始算起 。
默認情況下,ARP從緩存中讀取IP-MAC條目,緩存中的IP-MAC條目是根據ARP響應包動態變化的 。因此,只要網絡上有ARP響應包發送到本機,即會更新ARP高速緩存中的IP-MAC條目 。
攻擊者只要持續不斷的發出偽造的ARP響應包就能更改目標主機ARP緩存中的IP-MAC條目,造成網絡中斷或中間人攻擊 。
ARP協議并不只在發送了ARP請求才接收ARP應答 。當計算機接收到ARP應答數據包的時候,就會對本地的ARP緩存進行更新,將應答中的IP和 MAC地址存儲在ARP緩存中 。因此,B向A發送一個自己偽造的ARP應答,而這個應答中的數據為發送方IP地址是192.168.10.3(C的IP地址),MAC地址是DD-DD-DD-DD-DD-DD(C的MAC地址本來應該是CC-CC-CC-CC-CC-CC,這里被偽造了) 。當A接收到B偽造的ARP應答,就會更新本地的ARP緩存(A可不知道被偽造了) 。
當攻擊源大量向局域網中發送虛假的ARP信息后,就會造成局域網中的機器ARP緩存的崩潰 。
Switch上同樣維護著一個動態的MAC緩存,它一般是這樣,首先,交換機內部有一個對應的列表,交換機的端口對應MAC地址表Port n <-> Mac記錄著每一個端口下面存在那些MAC地址,這個表開始是空的,交換機從來往數據幀中學習 。因為MAC-PORT緩存表是動態更新的,那么讓整個 Switch的端口表都改變,對Switch進行MAC地址欺騙的Flood,不斷發送大量假MAC地址的數據包,Switch就更新MAC-PORT緩存,如果能通過這樣的辦法把以前正常的MAC和Port對應的關系破壞了,那么Switch就會進行泛洪發送給每一個端口,讓Switch基本變成一個 HUB,向所有的端口發送數據包,要進行嗅探攻擊的目的一樣能夠達到 。也將造成Switch MAC-PORT緩存的崩潰 。
~~~
什么是ARP攻擊?
一、ARP Spoofing攻擊原理分析
在局域網中,通過ARP協議來完成IP地址轉換為第二層物理地址(即MAC地址)的 。ARP協議對網絡安全具有重要的意義 。通過偽造IP地址和MAC地址實現ARP欺騙,能夠在網絡中產生大量的ARP通信量使網絡阻塞或者實現“man in the middle” 進行ARP重定向和嗅探攻擊 。
用偽造源MAC地址發送ARP響應包,對ARP高速緩存機制的攻擊 。
每個主機都用一個ARP高速緩存存放最近IP地址到MAC硬件地址之間的映射記錄 。MS Windows高速緩存中的每一條記錄(條目)的生存時間一般為60秒,起始時間從被創建時開始算起 。
默認情況下,ARP從緩存中讀取IP-MAC條目,緩存中的IP-MAC條目是根據ARP響應包動態變化的 。因此,只要網絡上有ARP響應包發送到本機,即會更新ARP高速緩存中的IP-MAC條目 。
攻擊者只要持續不斷的發出偽造的ARP響應包就能更改目標主機ARP緩存中的IP-MAC條目,造成網絡中斷或中間人攻擊 。
ARP協議并不只在發送了ARP請求才接收ARP應答 。當計算機接收到ARP應答數據包的時候,就會對本地的ARP緩存進行更新,將應答中的IP和 MAC地址存儲在ARP緩存中 。因此,B向A發送一個自己偽造的ARP應答,而這個應答中的數據為發送方IP地址是192.168.10.3(C的IP地址),MAC地址是DD-DD-DD-DD-DD-DD(C的MAC地址本來應該是CC-CC-CC-CC-CC-CC,這里被偽造了) 。當A接收到B偽造的ARP應答,就會更新本地的ARP緩存(A可不知道被偽造了) 。
當攻擊源大量向局域網中發送虛假的ARP信息后,就會造成局域網中的機器ARP緩存的崩潰 。
Switch上同樣維護著一個動態的MAC緩存,它一般是這樣,首先,交換機內部有一個對應的列表,交換機的端口對應MAC地址表Port n <-> Mac記錄著每一個端口下面存在那些MAC地址,這個表開始是空的,交換機從來往數據幀中學習 。因為MAC-PORT緩存表是動態更新的,那么讓整個 Switch的端口表都改變,對Switch進行MAC地址欺騙的Flood,不斷發送大量假MAC地址的數據包,Switch就更新MAC-PORT緩存,如果能通過這樣的辦法把以前正常的MAC和Port對應的關系破壞了,那么Switch就會進行泛洪發送給每一個端口,讓Switch基本變成一個 HUB,向所有的端口發送數據包,要進行嗅探攻擊的目的一樣能夠達到 。也將造成Switch MAC-PORT緩存的崩潰,如下下面交換機中日志所示:
Internet 172.20.156.10000b.cd85.a193 ARPAVlan256Internet 172.20.156.50000b.cd85.a193 ARPAVlan256Internet 172.20.156.254 0000b.cd85.a193 ARPAVlan256Internet 172.20.156.53 0000b.cd85.a193 ARPAVlan256Internet 172.20.156.33 0000b.cd85.a193 ARPAVlan256Internet 172.20.156.130000b.cd85.a193 ARPAVlan256Internet 172.20.156.150000b.cd85.a193 ARPAVlan256Internet 172.20.156.140000b.cd85.a193 ARPAVlan256
二、ARP病毒分析
當局域網內某臺主機運行ARP欺騙的木馬程序時,會欺騙局域網內所有主機和路由器,讓所有上網的流量必須經過病毒主機 。其他用戶原來直接通過路由器上網現在轉由通過病毒主機上網,切換的時候用戶會斷一次線 。切換到病毒主機上網后,如果用戶已經登陸了傳奇服務器,那么病毒主機就會經常偽造斷線的假像,那么用戶就得重新登錄傳奇服務器,這樣病毒主機就可以盜號了 。
由于ARP欺騙的木馬程序發作的時候會發出大量的數據包導致局域網通訊擁塞以及其自身處理能力的限制,用戶會感覺上網速度越來越慢 。當ARP欺騙的木馬程序停止運行時,用戶會恢復從路由器上網,切換過程中用戶會再斷一次線 。
在路由器的“系統歷史記錄”中看到大量如下的信息:
MAC Chged 10.128.103.124MAC Old 00:01:6c:36:d1:7fMAC New 00:05:5d:60:c7:18
這個消息代表了用戶的MAC地址發生了變化,在ARP欺騙木馬開始運行的時候,局域網所有主機的MAC地址更新為病毒主機的MAC地址(即所有信息的MAC New地址都一致為病毒主機的MAC地址),同時在路由器的“用戶統計”中看到所有用戶的MAC地址信息都一樣 。
如果是在路由器的“系統歷史記錄”中看到大量MAC Old地址都一致,則說明局域網內曾經出現過ARP欺騙(ARP欺騙的木馬程序停止運行時,主機在路由器上恢復其真實的MAC地址) 。
BKDR_NPFECT.A病毒引起ARP欺騙之實測分析
Part1. 病毒現象
中毒機器在局域網中發送假的APR應答包進行APR欺騙, 造成其他客戶機無法獲得網關和其他客戶機的網卡真實MAC地址,導致無法上網和正常的局域網通信.
Part2. 病毒原理分析:
病毒的組件
本文研究的病毒樣本有三個組件構成:
【ARP攻擊是什么意思 arp攻擊怎么解決】%windows%SYSTEM32LOADHW.EXE(108,386 bytes) ….. ”病毒組件釋放者”
%windows%System32driversnpf.sys(119,808 bytes) ….. ”發ARP欺騙包的驅動程序”
%windows%System32msitinit.dll (39,952 bytes)…”命令驅動程序發ARP欺騙包的控制者”
病毒運作基理:
1.LOADHW.EXE 執行時會釋放兩個組件npf.sys 和msitinit.dll .
LOADHW.EXE釋放組件后即終止運行.
注意: 病毒假冒成winPcap的驅動程序,并提供winPcap的功能. 客戶若原先裝有winPcap,
npf.sys將會被病毒文件覆蓋掉.
2.隨后msitinit.dll將npf.sys注冊(并監視)為內核級驅動設備: "NetGroup Packet Filter Driver"
msitinit.dll 還負責發送指令來操作驅動程序npf.sys (如發送APR欺騙包, 抓包, 過濾包等)
以下從病毒代碼中提取得服務相關值:
BinaryPathName = "system32driversnpf.sys"StartType = SERVICE_AUTO_STARTServiceType= SERVICE_KERNEL_DRIVERDesiredAccess= SERVICE_ALL_ACCESSDisplayName = "NetGroup Packet Filter Driver"ServiceName = "Npf"
ARP攻擊是什么?ARP攻擊是有ARP欺騙的木馬程序,因為這種攻擊是利用ARP請求報文進行“欺騙”的,所以防火墻會誤以為是正常的請求數據包,不予攔截 。因此普通的防火墻很難抵擋這種攻擊 。使用360ARP防火墻,它的專業技術可以完美的解決局域網內ARP攻擊問題
關于什么是arp攻擊和arp攻擊怎么解決的內容就分享到這兒!更多實用知識經驗,盡在 m.apearl.cn