|
|
|
1. 什么是ARP?
ARP(AddressResolutionProtocol)地址解析協(xié)議用于將計算機的網(wǎng)絡(luò)IP地址轉(zhuǎn)化為物理MAC地址。ARP協(xié)議的基本功能就是通過目標設(shè)備的IP地址,查詢目標設(shè)備的MAC地址,以保證通信的順利進行。在每臺安裝有TCP/IP協(xié)議的電腦里都有一個ARP緩存表,表里的IP地址與MAC地址是一一對應(yīng)的,如果系統(tǒng)ARP緩存表被修改不停的通知路由器一系列錯誤的內(nèi)網(wǎng)IP或者干脆偽造一個假的網(wǎng)關(guān)進行欺騙的話,網(wǎng)絡(luò)就肯定會出現(xiàn)大面積的掉線問題。ARP攻擊在現(xiàn)今的網(wǎng)絡(luò)中頻頻出現(xiàn),有效的防范ARP形式的網(wǎng)絡(luò)攻擊已成為確保網(wǎng)絡(luò)暢通必要條件。
2. ARP的原理。
我在網(wǎng)上找到了一段很生動的描述:
通常主機在發(fā)送一個ip包之前,它要到該轉(zhuǎn)換表中尋找和ip包對應(yīng)的mac地址。如果沒有找到,該主機就發(fā)送一個ARP廣播包,看起來象這樣子:
"我是主機xxx.xxx.xxx.xxx , mac是xxxxxxxxxxx ,ip為xxx.xxx.xxx.xx1的主機請告之你的mac來"
ip為xxx.xxx.xxx.xx1的主機響應(yīng)這個廣播,應(yīng)答ARP廣播為:
"我是xxx.xxx.xxx.xx1,我的mac為xxxxxxxxxx2"
于是,主機刷新自己的ARP緩存,然后發(fā)出該ip包。
了解這些常識后,現(xiàn)在就可以談在網(wǎng)絡(luò)中如何實現(xiàn)ARP欺騙了,可以看看這樣一個例子:
一個入侵者想非法進入某臺主機,他知道這臺主機的防火墻只對192.0.0.3(假設(shè))這個ip開放23口(telnet),而他必須要使用telnet來進入這臺主機,所以他要這么做:
1、他先研究192.0.0.3這臺主機,發(fā)現(xiàn)這臺95的機器使用一個oob就可以讓他死掉。
2、于是,他送一個洪水包給192.0.0.3的139口,于是,該機器應(yīng)包而死。
3、這時,主機發(fā)到192.0.0.3的ip包將無法被機器應(yīng)答,系統(tǒng)開始更新自己的arp對應(yīng)表。將192.0.0.3的項目搽去。
4、這段時間里,入侵者把自己的ip改成192.0.0.3
5、他發(fā)一個ping(icmp 0)給主機,要求主機更新主機的arp轉(zhuǎn)換表。
6、主機找到該ip,然后在arp表中加入新的ip-->mac對應(yīng)關(guān)系。
7、防火墻失效了,入侵的ip變成合法的mac地址,可以telnet了。
有人也許會說,這其實就是冒用ip嘛。是冒用了ip,但決不是ip欺騙,ip欺騙的原理比這要復(fù)雜的多,實現(xiàn)的機理也完全不一樣。3. 實戰(zhàn)ARP
我給大家演示一下ARP入侵是如何實現(xiàn)的。給大家揭開這個謎團。當然,只是一筆帶過,這篇文章只是讓大家識別并防范。決不會教大家利用并入侵。
圖一,防火墻攔截了我本機發(fā)出的真實ARP信息(IP:192.168.1.23):
圖二,偽裝IP和MAC。大家記一下和下面的對比:
|
|
發(fā)表留言請先登錄!
|