4.A ARP攻击与防范.docVIP

4.A ARP的攻击与防范 1.什么是ARP ARP，即地址解析协议，实现通过IP地址得知其物理地址。在TCP/IP网络环境下，每个主机都分配了一个32位的IP地址，这种互联网地址是在网际范围标识主机的一种逻辑地址；另外TCP/IP协议栈中，网络层和传输层只关心目标主机的IP地址，而在以太网中使用IP协议时，数据链路层的以太网协议接到上层IP协议提供的数据中，只包含目的主机的IP地址。为了让报文在物理网路上传送，必须知道对方目的主机的物理地址（MAC地址）。这样就存在把IP地址变换成物理地址的地址转换问题。以以太网环境为例，为了正确地向目的主机传送报文，必须把目的主机的32位IP地址转换成为48位以太网的地址。这就需要在互连层有一组服务将IP地址转换为相应物理地址，这组协议就是ARP协议。所谓地址解析（address resolution）就是主机在发送帧前将目标IP地址转换成目标MAC地址的过程。 1.1 ARP的工作原理 在每台安装有TCP/IP协议的电脑里都有一个ARP缓存表，表里的IP地址与MAC地址是一一对应的。 　　 以主机A（）向主机B（）发送数据为例。当发送数据时，主机A会在自己的ARP缓存表中寻找是否有目标IP地址。如果找到了，也就知道了目标MAC地址，直接把目标MAC地址写入帧里面发送就可以了；如果在ARP缓存表中没有找到目标IP地址，主机A就会在网络上发送一个广播，A主机MAC地址是“主机A的MAC地址”，这表示向同一网段内的所有主机发出这样的询问：“我是，我的硬件地址是主机A的MAC地址.请问IP地址为的MAC地址是什么？”网络上其他主机并不响应ARP询问，只有主机B接收到这个帧时，才向主机A做出这样的回应：“的MAC地址是00-aa-00-62-c6-09”。这样，主机A就知道了主机B的MAC地址，它就可以向主机B发送信息了。同时A和B还同时都更新了自己的ARP缓存表（因为A在询问的时候把自己的IP和MAC地址一起告诉了B），下次A再向主机B或者B向A发送信息时，直接从各自的ARP缓存表里查找就可以了。ARP缓存表采用了老化机制（即设置了生存时间TTL），在一段时间内（一般15到20分钟）如果表中的某一行没有使用，就会被删除，这样可以大大减少ARP缓存表的长度，加快查询速度。 1.2 Arp攻击 　ARP攻击就是通过伪造IP地址和MAC地址实现ARP欺骗，能够在网络中产生大量的ARP通信量使网络阻塞，攻击者只要持续不断的发出伪造的ARP响应包就能更改目标主机ARP缓存中的IP-MAC条目，造成网络中断或中间人攻击。ARP攻击主要是存在于局域网网络中，局域网中若有一个人感染ARP木马，则感染该ARP木马的系统将会试图通过“ARP欺骗”手段截获所在网络内其它计算机的通信信息，并因此造成网内其它计算机的通信故障。 ARP欺骗分为二种，一种是对路由器ARP表的欺骗；另一种是对内网PC的网关欺骗。第一种ARP欺骗的原理是——截获网关数据。它通知路由器一系列错误的内网MAC地址，并按照一定的频率不断进行，使真实的地址信息无法通过更新保存在路由器中，结果路由器的所有数据只能发送给错误的MAC地址，造成正常PC无法收到信息。第二种ARP欺骗的原理是——伪造网关。它的原理是建立假网关，让被它欺骗的PC向假网关发数据，而不是通过正常的路由器途径上网。 2.用cain 实现Arp欺骗 首先下载安装Cain，然后启动。Cain界面如下： 图1 接下来，我们做个试验。利用cain的arp欺骗，得到目标主机上的账户密码。 首先看我搭建的临时局域网。如下图： 图2 我们的目的是得到ip为02的目标主机登陆路由器的账户密码。安装cain的电脑的ip为01. 好了下面正式开始工作了。 步骤如下： 1）点击菜单栏里的configure或者工具栏里的图标。 2）弹出了如下的对话框。 图3 选择联入局域网的网卡。这里是第二个网卡。 3）接着按如下指示操作。 图4 单击scan mac addresses之后，弹出如下对话框。 图5 点击ok，就好了。 这样就扫描出局域网中有哪些电脑，ip与mac地址分别是多少。 图6 紧接着，单击工具栏里的，而后单击选项卡(左下角)，再在右边处单击（即图中poisoning所在的位置），就可以看到绿色圈住的十字架变实了。 图7 5）我们要得到网关的ip地址和目标主机的ip地址。目标主机的ip地址我们事先已经知道了，为02。还需网关的ip地址。我们在命令行中输入ipconfig /all命令，即可看到网关的ip地址。 图8 看到default gateway一项，显示网关ip地址为53。 6）点击图绿色圈住的十字架。弹出如下的对话框： 图9 在左边选择目标主机（即02）。右边选择网关的ip（即53）。