ARP欺骗攻击.pptxVIP

黑客攻防ARP欺骗攻击ARP概述ARP（Address Resolution Protocol）是地址解析协议，是一种将IP地址转化成物理地址的协议。从IP地址到物理地址的映射有两种方式：表格方式和非表格方式。ARP具体说来就是将网络层（也就是相当于OSI的第三层）地址解析为数据链路层（也就是相当于OSI的第二层）的物理地址(注:此处物理地址并不一定指MAC地址)。ARP原理某机器A要向主机B发送报文，会查询本地的ARP缓存表，找到B的IP地址对应的MAC地址后，就会进行数据传输。如果未找到，则A广播一个ARP请求报文（携带主机A的IP地址Ia——物理地址Pa），请求IP地址为Ib的主机B回答物理地址Pb。网上所有主机包括B都收到ARP请求，但只有主机B识别自己的IP地址，于是向A主机发回一个ARP响应报文。其中就包含有B的MAC地址，A接收到B的应答后，就会更新本地的ARP缓存。接着使用这个MAC地址发送数据（由网卡附加MAC地址）。因此，本地高速缓存的这个ARP表是本地网络流通的基础，而且这个缓存是动态的。ARP欺骗攻击原理从ARP协议的工作过程，我们可以看出，ARP协议数据发送机制有一个致命的缺陷，即它是建立在对局域网中主机全部信任的基础上的，也就是说它的假设前提是：无论局域网中哪台主机，其发送的ARP数据包都是正确的。那么这样就很危险了！因为局域网中并非所有的主机都安分守己，往往有非法者的存在。比如在上述数据发送中，当主机A向全网询问“我想知道IP地址为192.168.0.4的主机的硬件地址是多少？”后，主机B也回应了自己的正确MAC地址。但是当此时，应该沉默的主机X也回话了：“我的IP地址是192.168.0.4，我的硬件地址是MAC_X”，注意，此时它竟然冒充自己是主机B的IP地址，而MAC地址竟然写成自己的！由于主机X不停地发送这样的应答数据包，本来主机A的ARP缓存表中已经保存了正确的记录：192.168.0.4－MAC_B，但是由于主机X的不停应答，这时主机A并不知道主机X发送的数据包是伪造的，导致主机A又重新动态更新自身的ARP缓存表，这回记录成：192.168.0.4－MAC_X，很显然，这是一个错误的记录(也叫ARP缓存表中毒)，这样就导致以后凡是主机A要发送给主机B，也就是IP地址为192.168.0.4这台主机的数据，都将会发送给MAC地址为MAC_X的主机，这样主机X就劫持了由主机A发送给主机B的数据！这就是ARP欺骗的过程如果X这台主机不冒充主机B，而是冒充网关，那后果会怎么样呢？如果主机X向全网不停的发送ARP欺骗广播，大声说：“我的IP地址是192.168.0.1，我的硬件地址是MAC_X”，这时局域网中的其他主机并没有察觉到什么，因为局域网通信的前提条件是信任任何主机发送的ARP广播包。这样局域网中的其他主机都会更新自身的ARP缓存表，记录下192.168.0.1－MAC_X这样的记录，这样，当它们发送给网关，也就是IP地址为192.168.0.1这台主机的数据，结果都会发送到MAC_X这台电脑中！这样，主机X就将会监听整个局域网发送给互联网的数据包。欺骗种类ARP欺骗分为二种，一种是对路由器ARP表的欺骗；另一种是对内网PC的网关欺骗第一种ARP欺骗的原理是——截获网关数据。它通知路由器一系列错误的内网MAC地址，并按照一定的频率不断进行，使真实的地址信息无法通过更新保存在路由器中，结果路由器的所有数据只能发送给错误的MAC地址，造成正常PC无法收到信息。第二种ARP欺骗的原理是——伪造网关。它的原理是建立假网关，让被它欺骗的PC向假网关发数据，而不是通过正常的路由器途径上网。在PC看来，就是上不了网了，“网络掉线了”。ARP欺骗能做什么呢 网络数据的基本传送流程是信息发送--网关--信息接收如果有某台机器感染了arp,他会冒充网关主机，当有数据通过 这个假冒的网关时，正常的数据就会被这个假网关插入病毒代码，被插入病毒的数据传送到了接收方，那接收方就也可能会中毒，成为又一个假网关， arp病毒就是以此方式迅速蔓延就好比你寄信时，帮你投递的是一个假邮递员，他把你的信里放入了病毒，那收信人就会被病毒感染，冒充邮递员再去骗别人WinArpAttacker WinArpAttacker是一个很出名的ARP攻击工具，进行使用前，要先进行设置，打开菜单“设置”适配器选择你将要扫描的那个适配器（和嗅探器的使用类似），选择自己的IP和网关IP，然后按下“应用”和“确定”。接下来就是扫描， ，我们目前只需要使用到扫描局域网即可。扫描后显示区会显示结果：ArpSQ：是该机器的发送ARP请求包的个数ArpSP：是该机器的发送回应包个数ArpRQ：是该机器的接收请求包个数ArpRQ：是该机器的接收回应包个数Pa