ARP欺骗小组成员:鲜光芮、徐柳超、吴佳琦、姚钦涛ARP及其解析原理什么是ARP欺骗ARP欺骗的危害ARP欺骗的原理ARP欺骗的类型ARP欺骗的防护ARP及其解析原理ARP(AddressResolutionProtocol):地址解析协议,是根据IP地址获取物理地址的一个TCP/IP协议。主机发送信息时将包含目标IP地址的ARP请求广播到网络上的所有主机,并接收返回消息,以此确定目标的物理地址;收到返回消息后将该IP地址和物理地址存入本机ARP缓存中并保留一定时间,下次请求时直接查询ARP缓存以节约资源。解析原理:假如当主机A要向本局域网中的某个主机B发送IP数据报时,如果在ARP高速缓存中查看有无主机B的IP地址。如有,就在ARP高速缓存中查出其对应的硬件地址,在把这个硬件地址写入MAC帧中,然后通过局域网把该MAC帧发送到此硬件地址。但是在高速缓存中,也可能查不到主机B的IP地址的项目。可能是主机B才入网,或者是主机A才刚开启,其高速缓存还是空的。这时,主机A会自动运行ARP,然后按照以下步骤找到主机B的硬件地址:ARP及其解析原理当主机A需要解析一个IP地址对应的MAC地址时,ARP进程在本局域网上会广播发送ARP请求报文。如图所示。ARP及其解析原理在本局域网上的所有主机上运行的ARP进程都收到此ARP请求报文。当主机B收到主机A发送的ARP请求报文,并看到自己的IP地址后,会进行应答,即向主机A发送ARP响应报文,该报文是单播报文。同时,就把主机A的地址映射写入主机B自己的ARP高速缓存中,方便主机B向主机A发送数据。如图所示:ARP及其解析原理发起请求的主机A接收到主机B的ARP响应报文后,同样会将响应报文中发送者的IP地址和MAC地址的映射关系写入ARP高速缓存中。ARP把保存在高速缓存中的每一个映射地址项目都设置生存时间,凡是超过生存时间的项目就从高速缓存中删除掉。用于防止存入高速缓存中的主机物理地址突然改变(例如主机B的网络适配器突然坏掉,B立即更换了一块,其硬件地址就改变了)。ARP欺骗在局域网中,黑客经过收到ARPRequest广播包,能够偷听到其它节点的(IP,MAC)地址,黑客就伪装为A,告诉B(受害者)一个假地址,使得B在发送给A的数据包都被黑客截取,而B浑然不知。ARP欺骗的危害ARP欺骗带来的危害可以分为几大类:网络异常。具体表现为:掉线、IP冲突等。数据窃取。具体表现为:个人隐私泄漏(如MSN聊天记录、邮件等)、账号被盗用(如QQ账号、银行账号等)。数据篡改。具体表现为:访问的网页被添加了恶意内容,俗称“挂马”。非法控制。具体表现为:网络速度、网络访问行为(例如某些网页打不开、某些网络应用程序用不了)受第三者非法控制。ARP欺骗的原理假设一个网络环境中,网内有三台主机,分别为主机A、B、C。主机详细信息如下描述:A的地址为:IP:192.168.10.1MAC:AA-AA-AA-AA-AA-AAB的地址为:IP:192.168.10.2MAC:BB-BB-BB-BB-BB-BBC的地址为:IP:192.168.10.3MAC:CC-CC-CC-CC-CC-CCARP欺骗的原理正常情况下A和C之间进行通讯,但是此时B向A发送一个自己伪造的ARP应答,而这个应答中的数据为发送方IP地址是192.168.10.3(C的IP地址),MAC地址是BB-BB-BB-BB-BB-BB(C的MAC地址本来应该是CC-CC-CC-CC-CC-CC,这里被伪造了)。当A接收到B伪造的ARP应答,就会更新本地的ARP缓存(A被欺骗了),这时B就伪装成C了。同时,B同样向C发送一个ARP应答,应答包中发送方IP地址四192.168.10.1(A的IP地址),MAC地址是BB-BB-BB-BB-BB-BB(A的MAC地址本来应该是AA-AA-AA-AA-AA-AA),当C收到B伪造的ARP应答,也会更新本地ARP缓存(C也被欺骗了),这时B就伪装成了A。这样主机A和C都被主机B欺骗,A和C之间通讯的数据都经过了B。主机B完全可以知道他们之间说的什么:)。这就是典型的ARP欺骗过程。ARP欺骗的种类第一种ARP欺骗——截获网关数据。它通知路由器一系列错误的内网MAC地址,并按照一定的频率不断进行,使真实的地址信息无法通过更新保存在路由器中,结果路由器的所有数据只能发送给错误的MAC地址,造成正常PC无法收到信息。第二种ARP欺骗——伪造网关。它的原理是建立假网关,让被它欺骗的PC向假网关发数据,而不是通过正常的路由器途径上网。在PC看来,就是上不了网了,“网络掉线了”。ARP欺骗的防护不要把网络安全信任关系建立在IP基础上或MAC基础上(RARP同样存在欺骗的问题),理想的关系应该建立在IP+MAC基础上。设置静态的MAC--IP对应表,不要让主机刷新设定好的转换表。除非很有必要,否则停止使用ARP,将ARP做为永久条目保存在对应表中。使用ARP服务器。通过该服务器查找自己的ARP转换表来响应其他机器的ARP广播。确保这台ARP服务器不被黑。使用“proxy”代理IP的传输。ARP欺骗的防护使用硬件屏蔽主机。设置好路由,确保IP地址能到达合法的路径(静态配置路由ARP条目),注意,使用交换集线器和网桥无法阻止ARP欺骗。管理员定期用响应的IP包中获得一个RARP请求,然后检查ARP响应的真实性。管理员定期轮询,检查主机上的ARP缓存。使用防火墙连续监控网络。注意有使用SNMP的情况下,ARP的欺骗有可能导致陷阱包丢失。若感染ARP病毒,可以通过清空ARP缓存、指定ARP对应关系、添加路由信息、使用防病毒软件等方式解决。