ARP攻击原理及解决方案ppt.ppt

ARP攻击原理及解决方案 现教中心 360安全卫士 打开360安全卫士的arp防火墙 一般自动即可，如果仍然无法上网，就开启手动 填入 ip地址 mac地址 什么是ARP? ARP协议是“Address Resolution Protocol”（地址解析协议）的缩写。 计算机通过ARP协议将IP地址转换成MAC地址。 ARP协议工作原理 在以太网中，数据传输的目标地址是MAC地址，一个主机要和另一个主机进行直接通信，必须要知道目标主机的MAC地址。 计算机使用者通常只知道目标机器的IP信息，“地址解析”就是主机在发送帧前将目标IP地址转换成目标MAC地址的过程。 简单地说，ARP协议主要负责将局域网中的32为IP地址转换为对应的48位物理地址，即网卡的MAC地址，保障通信顺利尽心。 IP: = ??? 我需要知道的物理地址. ARP协议工作原理 IP: = ??? 我知道你的请求，这是我的物理地址 我需要知道的物理地址. ARP协议工作原理 IP: Ethernet: 0800.0020.1111 IP: = ??? 我知道你的请求，这是我的物理地址 我需要知道的物理地址. ARP协议工作原理 什么是ARP欺骗？ 每个主机都用一个ARP高速缓存存放最近IP地址到MAC地址之间的映射记录。 默认情况下，ARP从缓存中读取IP-MAC条目，缓存中的IP-MAC条目是根据ARP响应包动态变化的。 只要网络上有ARP响应包发送到本机，即会更新ARP高速缓存中的IP-MAC条目。 攻击者只要持续不断的发出伪造的ARP响应包就能更改目标主机ARP缓存中的IP-MAC条目，完成ARP欺骗。 一个简单的案例 主机A AA-AA-AA-AA-AA-AA 主机C CC-CC-CC-CC-CC-CC 主机B BB-BB-BB-BB-BB-BB ARP应答包：主机B的MAC地址 为CC-CC-CC-CC-CC-CC 主机A 的ARP 缓存表 BB-BB-BB-BB-BB-BB dynamic 一个简单的案例 主机A AA-AA-AA-AA-AA-AA 主机C CC-CC-CC-CC-CC-CC 主机B BB-BB-BB-BB-BB-BB ARP应答包：主机B的MAC地址 为CC-CC-CC-CC-CC-CC 主机A 的ARP 缓存表 CC-CC-CC-CC-CC-CC dynamic 一个简单的案例 主机A AA-AA-AA-AA-AA-AA 主机C CC-CC-CC-CC-CC-CC 主机B BB-BB-BB-BB-BB-BB 发给主机B的信息 主机A 的ARP 缓存表 CC-CC-CC-CC-CC-CC dynamic 一个简单的案例 主机A AA-AA-AA-AA-AA-AA 主机C CC-CC-CC-CC-CC-CC 主机B BB-BB-BB-BB-BB-BB 发给主机B的信息 主机A 的ARP 缓存表 CC-CC-CC-CC-CC-CC dynamic 主机C通过这种方式可以窃取主机A发送给主机B的信息； 为了使过程更加隐蔽，主机C还可以将数据包转发给主机B，从而使主机A和B都不能察觉，这种攻击方式称为Man In The Middle－－中间人攻击。 中间人攻击经常被用来窃取帐号信息，如传奇木马；还可以在转发数据的时候添加恶意程序。 一个简单的案例 主机A AA-AA-AA-AA-AA-AA 主机C CC-CC-CC-CC-CC-CC 网关 BB-BB-BB-BB-BB-BB 需要经过网关 中转的信息 主机A 的ARP 缓存表 CC-CC-CC-CC-CC-CC dynamic 如果把主机B换成网关，会使主机A因为无法找到正确的网关，从而无法访问出去，造成上网中断； 同样，主机C可以开启IP转发功能，完成中间人攻击或者在转发的数据中添加恶意程序。同时可以监听整个网段内的数据通信。 ARP欺骗时的现象 网络掉线，但网络连接正常； 内网的部分PC机不能上网，或者所有电脑不能上网； 无法打开网页或打开网页慢； 局域网时断时续并且网速较慢等。 如何快速判断自己被ARP欺骗？ 出现异常，不能上网的情况下，打开“开始”－“运行”，在CMD窗口中输入“arp –d”，然后重新尝试上网，如果可以上网，说明之前是由于ARP欺骗造成的； 误区：不能上网的机器未必是感染了ARP病毒的机器，而应该是被ARP欺骗的机器。 因此在该机器上杀毒是没有意义的。 如何防御ARP欺骗？ 方法一：使用AntiArpSniffer定位ARP攻击源。 AntiArpSniffer功能简介：帮助侦测定位网络中Arp