- 1、本文档共19页,可阅读全部内容。
- 2、原创力文档(book118)网站文档一经付费(服务费),不意味着购买了该文档的版权,仅供个人/单位学习、研究之用,不得用于商业用途,未经授权,严禁复制、发行、汇编、翻译或者网络传播等,侵权必究。
- 3、本站所有内容均由合作方或网友上传,本站不对文档的完整性、权威性及其观点立场正确性做任何保证或承诺!文档内容仅供研究参考,付费前请自行鉴别。如您付费,意味着您自己接受本站规则且自行承担风险,本站不退款、不进行额外附加服务;查看《如何避免下载的几个坑》。如果您已付费下载过本站文档,您可以点击 这里二次下载。
- 4、如文档侵犯商业秘密、侵犯著作权、侵犯人身权等,请点击“版权申诉”(推荐),也可以打举报电话:400-050-0827(电话支持时间:9:00-18:30)。
查看更多
第7章 ARP病毒原理及防范
第七章 ARP病毒原理及防范 6.1 ARP协议工作原理(1) ARP是地址转换协议(Address Resolution Protocol)的英文缩写,它是一个链路层协议,工作在OSI模型的第二层,在本层和硬件接口间进行联系,同时对上层(网络层)提供服务。 ??? 二层的以太网交换设备并不能识别32位的IP地址,它们是以48位的MAC地址传输以太网数据包的。也就是说IP数据包在局域网内部传输时并不是靠IP地址而是靠MAC地址来识别目标的,因此IP地址与MAC地址之间就必须存在一种对应关系,而ARP协议就是用来确定这种对应关系的协议。 ??? Windows操作系统,在命令行窗口输入arp -a命令可查看本机当前的ARP缓存表,ARP缓存表保存的就是IP地址与MAC地址的对应关系,如下图2-21所示: 6.1 ARP协议工作原理(2) ARP数据包根据接收对象不同,可分为两种: ??? 1. 广播包(Broadcast)。广播包目的MAC地址为FF-FF-FF-FF-FF-FF,交换机设备接收到广播包后,会把它转发给局域网内的所有主机。??? 2. 非广播包(Non-Broadcast)。非广播包后只有指定的主机才能接收到。 ARP数据包根据功能不同,也可以分为两种: ??? 1. ARP请求包(ARP Request)。ARP请求包的作用是用于获取局域网内某IP对应的MAC地址。??? 2. ARP回复包(ARP Reply)。ARP回复包的作用是告知别的主机,本机的IP地址和MAC是什么。 ??? 广播的一般都是ARP请求包,非广播的一般都是ARP回复包。 6.1 ARP协议工作原理(3) 当主机A需要与主机B进行通讯时,它会先查一下本机的ARP缓存中,有没有主机B的MAC地址。如果有就可以直接通讯。如果没有,主机A就需要通过ARP协议来获取主机B的MAC地址,具体做法相当于主机A向局域网内所有主机广播:“谁是192.168.0.2?我是192.168.0.1,我的MAC地址是AA-AA-AA-AA-AA-AA。你的MAC地址是什么?”,这时候主机A发的数据包类型为:广播-请求。 ??? 当主机B接收到来自主机A的“ARP广播-请求”数据包后,它会先把主机A的IP地址和MAC地址对应关系保存/更新到本机的ARP缓存表中,然后它会给主机A发送一个“ARP非广播-回复”数据包,其作用相当于告诉主机A:“我是192.168.0.2,我的MAC地址是BB-BB-BB-BB-BB-BB”。当主机A接收到主机B的回复后,它会把主机B的IP地址和MAC地址对应关系保存到本机的ARP缓存表中,之后主机A和B就可以正常通讯了。 6.2 ARP欺骗的原理(1) 上节我们已经了解到,主机在两种情况下会保存、更新本机的ARP缓存表。??? 1. 接收到“ARP广播-请求”包时??? 2. 接收到“ARP非广播-回复”包时 ??? 从中我们可以看出,ARP协议是没有身份验证机制的,局域网内任何主机都可以随意伪造ARP数据包,ARP协议设计天生就存在严重缺陷。 在正常情况下,主机PC02与GW之间的数据流向,以及它们各自的ARP缓存表如下图2-22所示: 6.2 ARP欺骗的原理(2) 网络爱好者,主机PC03出现之后,他为了达到某种目的,于是决定实施一次ARP欺骗攻击。PC03首先向PC02发送了一个ARP数据包,作用相当于告诉PC02:“我是192.168.0.1,我的MAC地址是03-03-03-03-03-03”,接着他也向GW发送了一个ARP数据包,作用相当于告诉GW:“我是192.168.0.2,我的MAC地址是03-03-03-03-03-03”。于是,主机PC02与GW之间的数据流向,以及它们各自的ARP缓存表就变成如下图2-23所示: 6.2 ARP欺骗的原理(3) 我们可以看出,ARP欺骗之后,主机PC02与GW之间的所有网络数据都将流经PC03,即PC03已经掌控了它们之间的数据通讯。以上就是一次ARP欺骗的实施过程,以及欺骗之后的效果。 6.3 ARP欺骗的种类及危害 (1) RP欺骗根据欺骗对象的不用可以分为三种, ??? 1. 只欺骗受害主机。实施欺骗后效果如下图2-24所示: 6.3 ARP欺骗的种类及危害 (2) 2. 只欺骗路由器、网关。实施欺骗后效果如下图2-25所示: 6.3 ARP欺骗的种类及危害 (3) . 双向欺骗,即前面两种欺骗方法的组合使用。实施欺骗后的效果如下图2-26: 6.3 ARP欺骗的种类及危害 (4) ARP欺骗带来的危害可以分为几大类,??? 1. 网络异常。表现为:掉线、IP冲突等。??? 2. 数据窃取。表现为:隐私泄漏(如聊天记录)、账号被盗用(如
文档评论(0)