LOGOARP欺骗张小伟101070105信息管理学院目录ARP简介ARP欺骗ARP攻击ARP欺骗的防护受到ARP攻击后的解决办法ARP简介什么是ARPAddressResolutionProtocol即地址解析协议。ARP的作用太网交换设备并不能识别32位的IP地址,它们是以48位以太网地址(MAC地址)传输以太网数据包的。IP数据包在局域网内部传输时并不是靠IP地址而是靠MAC地址来识别目标的,因此IP地址与MAC地址之间就必须存在一种对应关系,而ARP协议的基本功能就是通过目标设备的IP地址,查询目标设备的MAC地址,以保证通信的顺利进行。ARP简介ARPCache在安装了以太网网络适配器(既网卡)或TCP/IP协议的计算机中,都有ARPCache用来保存IP地址以及经解析的MAC地址,如下图所示。ARP简介ARP工作原理(以A向C发送数据为例)1.A检查自己的ARPCache,是否有C的信息;2.若没找到,发送ARP广播请求,附带自身信息;3.C将A得信息加入自己的ARPCache;4.C回应A一个ARP信息;5.A将C得信息加入自己的ARPCache;6.A使用ARPCache中的信息向C发消息。ARP简介主机A与主机B通讯主机A与主机C通讯返回目录ARP欺骗ARP的缺陷ARP建立在信任局域网内所有结点的基础上。无状态的协议,不检查是否发过请求或是否是合法的应答,不只在发送请求后才接收应答。只要收到目标MAC是自己的ARP请求包或ARP应答包,就接受并缓存,将应答包里的MAC地址与IP对应的关系替换掉原有的ARP缓存表里的相应信息。这样,便为ARP欺骗提供了可能,恶意节点可以发布虚假的ARP报文从而影响网内结点的通信,甚至可以做“中间人”。ARP欺骗典型ARP欺骗类型之一欺骗主机作为“中间人”,被欺骗主机的数据都经它中转,以窃取被欺骗主机间的通讯数据。假设一网络环境中有三台主机分别为A、B、C•A-IP:192.168.10.1MAC:AA-AA-AA-AA-AA-AA•B-IP:192.168.10.2MAC:BB-BB-BB-BB-BB-BB•C-IP:192.168.10.3MAC:CC-CC-CC-CC-CC-CCB给A应答IP是192.168.10.3MAC是BB-BB-BB-BB-BB-BBB给C应答IP是192.168.10.1MAC是AA-AA-AA-AA-AA-AAB对A伪装成C,对C伪装成A,A和C都被欺骗了!双向欺骗,欺骗者必须同时对网关和主机进行欺骗。主机B截取主机A与主机C之间的数据通信。ARP欺骗ARP欺骗典型ARP欺骗类型之二截获网关数据,欺骗路由器的ARP表。它通知路由器一系列错误的内网MAC地址,并按照一定的频率不断进行,使真实的地址信息无法通过更新保存在路由器中,结果路由器的所有数据只能发送给错误的MAC地址,造成正常的计算机无法收到信息。ARP欺骗典型ARP欺骗类型之三伪造网关,欺骗内网计算机,造成断网。建立假网关,让被它欺骗的计算机向该假网关发数据,而不是发给路由器。这样无法通过正常的路由器途径上网,在计算机看来,就是上不了网,即网络掉线或断网了。返回目录ARP攻击ARP攻击主要是指ARP欺骗ARP攻击也包括ARP扫描(或称请求风暴)即在网络中产生大量ARP请求广播包,严重占用网络带宽资源,使网络阻塞。ARP扫描一般为ARP攻击的前奏。ARP攻击主要是存在于局域网中ARP攻击一般通过木马感染计算机ARP攻击ARP欺骗木马只需成功感染一台电脑,就可能导致整个局域网都无法上网,严重的甚至可能带来整个网络的瘫痪。受到ARP攻击的计算机一般会出现的现象:不断弹出“本机的0-255段硬件地址与网络中的0-255段地址冲突”的对话框。计算机不能正常上网,出现网络中断的症状。返回目录ARP欺骗的防护局域网内可采用静态ARPCache在网络内部将主机和网关做IP和MAC静态绑定。是预防ARP欺骗攻击的最有效的方法之一。静态绑定的IP和MAC地址条目不会被ARP请求和响应改变。缺点是需要极高的管理维护成本。ARPCache设置超时ARPCache表项一般有超时值,可以适当缩短。ARP欺骗的防护主动查询在某个正常的时刻,做一个IP和MAC对应的数据库,以后定期检查当前的IP和MAC对应关系是否正常。同时定期检测交换机的流量列表,查看丢包率。使用ARP防护软件具有ARP防护功能的路由器ARP欺骗的防护网络运营商可采用SuperVLAN技术在同一个子网中分化出多个SubVLAN,而将整个IP子网指定为一个SuperVLAN。所有SubVLAN都使用SuperVLAN的默认网关IP地址,不同的SubVLAN仍保留各自独立的广播域。子网中的所有主机只能与自己的默认网关通信。如果将交换机设备的每个端口化为一个SubVLAN,则实现了所有端口的隔离,也就避免了ARP欺骗。ARP欺骗的防护网络运营商也可采用PVLAN技术PVLAN即私有VLAN(PrivateVLAN),PVLAN采用两层VLAN隔离技术,只有上层VLAN全局可见,下层VLAN相互隔离。如果将交换机的每个端口化为一个(下层)VLAN,则实现了所有端口的隔离。PVLAN和SuperVLAN技术都可以实现端口隔离。返回目录受到ARP攻击后的解决办法1.故障现象及原因分析局域网内出现异常情况时,看看是否符合ARP欺骗的几种类型。2.故障诊断如发现符合ARP欺骗的情况,可尝试删除并重建本机ARPCache,如能恢复,则很可能正是受到了ARP攻击。在路由器(三次交换机)上查询ARP缓存表(一个MAC地址对应多个IP地址)受到ARP攻击后的解决办法3.故障处理可以采用ARP欺骗防护的几种办法,也可以使用专业防护软件或防火墙。4.找出ARP欺骗来源捕获局域网内所有主机的发送和接受到的数据包。若发现有某IP相应的主机行为异常,如不断发送ARP请求包,则该主机一般就是病毒源。5.清理ARP欺骗来源返回目录返回目录