ARP攻击.pptx

ARP攻击 网络安全技术 什么是ARP协议？ 译名：地址解析协议 作用范围：广播域 ARP协议是干什么用的？ 在已知目标主机ip地址的情况下；获取目标主机的mac地址！ ARP协议的重要性 地址解析协议是IPv4中必不可少的协议，而IPv4是使用较为广泛的互联网协议版本 IPv6仍处在部署的初期，且ipv6使用了NDP（邻居发现协议）协议取代了ARP协议。也就是ipv6不存在ARP协议！ 怎么办到的（工作原理）？ 举例： 主机A的IP地址为192.168.1.1，MAC地址为0A-11-22-33-44-01； 主机B的IP地址为192.168.1.2，MAC地址为0A-11-22-33-44-02； 当主机A要与主机B通信时，地址解析协议可以将主机B的IP地址（192.168.1.2）解析成主机B的MAC地址 第一步 根据主机A上的路由表内容，IP确定用于访问主机B的转发IP地址是192.168.1.2。然后A主机在自己的本地ARP缓存中检查主机B的匹配MAC地址。 第二步 如果主机A在ARP缓存中没有找到映射，它将询问192.168.1.2的硬件地址，从而将ARP请求帧广播到本地网络上的所有主机。源主机A的IP地址和MAC地址都包括在ARP请求中。 本地网络上的每台主机都接收到ARP请求并且检查是否与自己的IP地址匹配。如果主机发现请求的IP地址与自己的IP地址不匹配，它将丢弃ARP请求。 第三步 主机B确定ARP请求中的IP地址与自己的IP地址匹配，则将主机A的IP地址和MAC地址映射添加到本地ARP缓存中。 第四步 主机B将包含其MAC地址的ARP回复消息直接发送回主机A（单播）。 第五步 当主机A收到从主机B发来的ARP回复消息时，会用主机B的IP和MAC地址映射更新ARP缓存。 本机缓存是有生存期的，生存期结束后，将再次重复上面的过程。主机B的MAC地址一旦确定，主机A就能向主机B发送IP通信了。 Arp缓存 ARP缓存是个用来储存IP地址和MAC地址的缓冲区，其本质就是一个IP地址--MAC地址的对应表 表中每一个条目分别记录了网络上其他主机的IP地址和对应的MAC地址 arp缓存表的生命周期 静态一直保留知道关机重启； 动态最多保存600s（10分钟），若arp缓存表120s不更新则清除，若120s内更新了则再保留120s直到600s！ ARP命令 ARP命令用于查询本机ARP缓存中IP地址--MAC地址的对应关系、添加或删除静态对应关系等。如果在没有参数的情况下使用，ARP命令将显示帮助信息。 arp -a或arp –g 用于查看缓存中的所有项目。 arp -a ip 如果有多个网卡，那么使用arp -a加上接口的IP地址，就可以只显示与该接口相关的ARP缓存项目。 arp -s ip mac 可以向ARP缓存中人工输入一个静态项目。 arp -d ip 使用该命令能够人工删除一个静态项目。 arp欺骗！ ARP欺骗是黑客常用的攻击手段之一，ARP欺骗分为二种，一种是对路由器ARP表的欺骗；另一种是对内网PC的网关欺骗。 第一种（对路由器arp缓存表，后果：数据被盗取） ARP欺骗的原理是——截获网关数据。它通知路由器一系列错误的内网MAC地址，并按照一定的频率不断进行，使真实的地址信息无法通过更新保存在路由器中，结果路由器的所有数据只能发送给错误的MAC地址。 这种情况就属于典型的ARP欺骗，欺骗主机向被欺骗主机发送大量伪造的ARP应答包进行欺骗，当通讯双方被欺骗成功后，自己作为了一个“中间人“的身份。此时被欺骗的主机双方还能正常通讯，只不过在通讯过程中被欺骗者“窃听”了。 第二种（对主机内网网关，后果：断网） ARP欺骗的原理是——伪造网关。它的原理是建立假网关，让被它欺骗的PC向假网关发数据，而不是通过正常的路由器途径上网。在PC看来，就是上不了网了，“网络掉线了”。 这类情况就是在ARP欺骗过程中，欺骗者只欺骗了其中一方，如B欺骗了A，但是同时B没有对C进行欺骗，这样A实质上是在和B通讯，所以A就不能和C通讯了，另外一种情况还可能就是欺骗者伪造一个不存在地址进行欺骗。 典型的ARP欺骗过程1 假设一个网络环境中，网内有三台主机，分别为主机A、B、C。主机详细信息如下描述： A的地址为：IP：192.168.10.1 MAC: AA-AA-AA-AA-AA-AA B的地址为：IP：192.168.10.2 MAC: BB-BB-BB-BB-BB-BB C的地址为：IP：192.168.10.3 MAC: CC-CC-CC-CC-CC-CC 典型的ARP欺骗过程2 正常情况下A和C之间进行通讯，但是此时B向A发送一个自己伪造的ARP应答，而这个应答中的数据为发送方IP地址是192.168.1