ARP欺骗攻击实现与防范 .pptVIP

ARP欺骗攻击的实现与防范 ARP协议简介 ARP，全称Address Resolution Protocol，中文名为地址解析协议，它工作在数据链路层，在本层和硬件接口联系，同时对上层提供服务。 IP数据包常通过以太网发送，以太网设备并不识别32位IP地址，它们是以48位以太网地址传输以太网数据包。因此，必须把IP目的地址转换成以太网目的地址。在以太网中，一个主机要和另一个主机进行直接通信，必须要知道目标主机的MAC地址。但这个目标MAC地址是如何获得的呢？它就是通过地址解析协议获得的。ARP协议用于将网络中的IP地址解析为的硬件地址（MAC地址），以保证通信的顺利进行。 ARP报头结构 硬件类型字段指明了发送方想知道的硬件接口类型，以太网的值为1； 协议类型字段指明了发送方提供的高层协议类型，IP为0800（16进制）； 硬件地址长度和协议长度指明了硬件地址和高层协议地址的长度，这样ARP报文就可以在任意硬件和任意协议的网络中使用； 操作字段用来表示这个报文的类型，ARP请求为1，ARP响应为2，RARP请求为3，RARP响应为4； 发送方的硬件地址（0-3字节）：源主机硬件地址的前3个字节； 发送方的硬件地址（4-5字节）：源主机硬件地址的后3个字节； 发送方IP（0-1字节）：源主机硬件地址的前2个字节； 发送方IP（2-3字节）：源主机硬件地址的后2个字节； 目的硬件地址（0-1字节）：目的主机硬件地址的前2个字节； 目的硬件地址（2-5字节）：目的主机硬件地址的后4个字节； 目的IP（0-3字节）：目的主机的IP地址。  ARP的工作原理 首先，每台主机都会在自己的ARP缓冲区 (ARP Cache)中建立一个 ARP列表，以表示IP地址和MAC地址的对应关系。 当源主机需要将一个数据包要发送到目的主机时，会首先检查自己 ARP列表中是否存在该 IP地址对应的MAC地址，如果有﹐就直接将数据包发送到这个MAC地址；如果没有，就向本地网段发起一个ARP请求的广播包，查询此目的主机对应的MAC地址。此ARP请求数据包里包括源主机的IP地址、硬件地址、以及目的主机的IP地址。 网络中所有的主机收到这个ARP请求后，会检查数据包中的目的IP是否和自己的IP地址一致。如果不相同就忽略此数据包；如果相同，该主机首先将发送端的MAC地址和IP地址添加到自己的ARP列表中，如果ARP表中已经存在该IP的信息，则将其覆盖，然后给源主机发送一个 ARP响应数据包，告诉对方自己是它需要查找的MAC地址； 源主机收到这个ARP响应数据包后，将得到的目的主机的IP地址和MAC地址添加到自己的ARP列表中，并利用此信息开始数据的传输。如果源主机一直没有收到ARP响应数据包，表示ARP查询失败。 ARP欺骗 为什么ARP容易被欺骗？ 局域网内主机数据包的传送完成不是依靠IP地址，而是依靠ARP找到与IP地址对应的MAC地址实现的。 ARP欺骗的根本原因就是计算机维持一个ARP告诉缓存表。ARP协议是不连接不可靠的协议，ARP表随计算机不断发出请求和收到相应而更新的，因此，ARP表中数据是不会经过确认的，从而引起ARP欺骗攻击。 ARP欺骗攻击分类 ARP攻击类型： ARP 扫描 ARP 中间人攻击 ARP断网攻击。 ARP欺骗攻击原理-- ARP 扫描攻击 ARP 扫描（ARP请求风暴）用于查找网络中存活的主机，为后续攻击做准备。 其原理是：攻击主机向网段中所有机器挨个发起 ARP 请求，网络中的主机收到此 ARP 请求后，会对攻击主机进行响应。 通过 ARP 扫描，网络中的主机在攻击者面前将会暴露无疑，同时网络带宽被也会被严重耗费。 ARP欺骗攻击原理-- ARP 中间人攻击 ARP 中间人攻击用于窃取信息。 其原理是：攻击主机向被攻击主机和网关同时主动发起 ARP 回应，告诉对方自己是它的目标 MAC，从而使被欺骗主机和网关发送给对方的数据都在攻击主机处进行一个跳转，进而完成信息窃取的目的。 ARP 中间人攻击，能够导致被攻击主机的信息泄密，同时也会耗费网络带宽。 ARP欺骗攻击原理-- ARP断网攻击 ARP 断网攻击能使网络通讯中断，危害性最为严重。 其原理是：攻击主机向被攻击发起主动发起 ARP 回应，告诉对方一个错误的网关 MAC，从而让对方的数据发往错误甚至是不存在的 MAC 地址处，从而断网。如果同时对网络中的所有主机进行攻击，则会导致整个局域网全部断网。 ARP攻击实施工具 网络嗅探器sniffer 捕获目的主机信息 构造欺骗数据包 发起主动攻击 嗅探器的原理 ARP攻击实施工具 使用sniffer构造数据包 ARP 中间人攻击的实现 问题： 假设一个网络环境中，网内有三台主机，分别为主机 A、B、C。