(新)ARP欺骗讲解.ppt

ARP欺骗 小组成员：鲜光芮、徐柳超、吴佳琦、姚钦涛 ARP及其解析原理 什么是ARP欺骗 ARP欺骗的危害 ARP欺骗的原理 ARP欺骗的类型 ARP欺骗的防护 ARP及其解析原理 ARP（Address Resolution Protocol）：地址解析协议，是根据IP地址获取物理地址的一个TCP/IP协议。主机发送信息时将包含目标IP地址的ARP请求广播到网络上的所有主机，并接收返回消息，以此确定目标的物理地址；收到返回消息后将该IP地址和物理地址存入本机ARP缓存中并保留一定时间，下次请求时直接查询ARP缓存以节约资源。 解析原理： 假如当主机A要向本局域网中的某个主机B发送IP数据报时，如果在ARP高速缓存中查看有无主机B的IP地址。如有，就在ARP高速缓存中查出其对应的硬件地址，在把这个硬件地址写入MAC帧中，然后通过局域网把该MAC帧发送到此硬件地址。 但是在高速缓存中，也可能查不到主机B的IP地址的项目。可能是主机B才入网，或者是主机A才刚开启，其高速缓存还是空的。这时，主机A会自动运行ARP,然后按照以下步骤找到主机B的硬件地址： ARP及其解析原理 当主机A需要解析一个IP地址对应的MAC地址时，ARP进程在本局域网上会广播发送ARP请求报文。如图所示。 ARP及其解析原理 在本局域网上的所有主机上运行的ARP进程都收到此ARP请求报文。当主机B收到主机A发送的ARP请求报文，并看到自己的IP地址后，会进行应答，即向主机A发送ARP响应报文，该报文是单播报文。同时，就把主机A的地址映射写入主机B自己的ARP高速缓存中，方便主机B向主机A发送数据。如图所示： ARP及其解析原理 发起请求的主机A接收到主机B的ARP响应报文后，同样会将响应报文中发送者的IP地址和MAC地址的映射关系写入ARP高速缓存中。 ARP把保存在高速缓存中的每一个映射地址项目都设置生存时间，凡是超过生存时间的项目就从高速缓存中删除掉。用于防止存入高速缓存中的主机物理地址突然改变（例如主机B的网络适配器突然坏掉，B立即更换了一块，其硬件地址就改变了）。 ARP欺骗 在局域网中，黑客经过收到ARP Request广播包，能够偷听到其它节点的 (IP, MAC) 地址, 黑客就伪装为A，告诉B (受害者) 一个假地址，使得B在发送给A 的数据包都被黑客截取，而B 浑然不知。 ARP欺骗的危害 ARP欺骗带来的危害可以分为几大类：? 网络异常。具体表现为：掉线、IP冲突等。? 数据窃取。具体表现为：个人隐私泄漏（如MSN聊天记录、邮件等）、账号被盗用（如QQ账号、银行账号等）。? 数据篡改。具体表现为：访问的网页被添加了恶意内容，俗称“挂马”。? 非法控制。具体表现为：网络速度、网络访问行为（例如某些网页打不开、某些网络应用程序用不了）受第三者非法控制。 ARP欺骗的原理 假设一个网络环境中，网内有三台主机，分别为主机A、B、C。主机详细信息如下描述： A的地址为：IP：192.168.10.1 MAC: AA-AA-AA-AA-AA-AA B的地址为：IP：192.168.10.2 MAC: BB-BB-BB-BB-BB-BB C的地址为：IP：192.168.10.3 MAC: CC-CC-CC-CC-CC-CC ARP欺骗的原理 正常情况下A和C之间进行通讯，但是此时B向A发送一个自己伪造的ARP应答，而这个应答中的数据为发送方IP地址是192.168.10.3（C的IP地址），MAC地址是BB-BB-BB-BB-BB-BB（C的MAC地址本来应该是CC-CC-CC-CC-CC-CC，这里被伪造了）。当A接收到B伪造的ARP应答，就会更新本地的ARP缓存（A被欺骗了），这时B就伪装成C了。同时，B同样向C发送一个ARP应答，应答包中发送方IP地址四192.168.10.1（A的IP地址），MAC地址是BB-BB-BB-BB-BB-BB（A的MAC地址本来应该是AA-AA-AA-AA-AA-AA），当C收到B伪造的ARP应答，也会更新本地ARP缓存（C也被欺骗了），这时B就伪装成了A。这样主机A和C都被主机B欺骗，A和C之间通讯的数据都经过了B。主机B完全可以知道他们之间说的什么：）。这就是典型的ARP欺骗过程。 ARP欺骗的种类 第一种ARP欺骗——截获网关数据。它通知路由器一系列错误的内网MAC地址，并按照一定的频率不断进行，使真实的地址信息无法通过更新保存在路由器中，结果路由器的所有数据只能发送给错误的MAC地址，造成正常PC无法收到信息。 第二种ARP欺骗——伪造网关。它的原理是建立假网关，让被它欺骗的PC向假网关发数据，而不是通过正常的路由