(新)ARP欺骗概述

ARP欺骗小组成员：鲜光芮、徐柳超、吴佳琦、姚钦涛ARP及其解析原理什么是ARP欺骗ARP欺骗的危害ARP欺骗的原理ARP欺骗的类型ARP欺骗的防护ARP及其解析原理ARP（AddressResolutionProtocol）：地址解析协议，是根据IP地址获取物理地址的一个TCP/IP协议。主机发送信息时将包含目标IP地址的ARP请求广播到网络上的所有主机，并接收返回消息，以此确定目标的物理地址；收到返回消息后将该IP地址和物理地址存入本机ARP缓存中并保留一定时间，下次请求时直接查询ARP缓存以节约资源。解析原理：假如当主机A要向本局域网中的某个主机B发送IP数据报时，如果在ARP高速缓存中查看有无主机B的IP地址。如有，就在ARP高速缓存中查出其对应的硬件地址，在把这个硬件地址写入MAC帧中，然后通过局域网把该MAC帧发送到此硬件地址。但是在高速缓存中，也可能查不到主机B的IP地址的项目。可能是主机B才入网，或者是主机A才刚开启，其高速缓存还是空的。这时，主机A会自动运行ARP,然后按照以下步骤找到主机B的硬件地址：ARP及其解析原理当主机A需要解析一个IP地址对应的MAC地址时，ARP进程在本局域网上会广播发送ARP请求报文。如图所示。ARP及其解析原理在本局域网上的所有主机上运行的ARP进程都收到此ARP请求报文。当主机B收到主机A发送的ARP请求报文，并看到自己的IP地址后，会进行应答，即向主机A发送ARP响应报文，该报文是单播报文。同时，就把主机A的地址映射写入主机B自己的ARP高速缓存中，方便主机B向主机A发送数据。如图所示：ARP及其解析原理发起请求的主机A接收到主机B的ARP响应报文后，同样会将响应报文中发送者的IP地址和MAC地址的映射关系写入ARP高速缓存中。ARP把保存在高速缓存中的每一个映射地址项目都设置生存时间，凡是超过生存时间的项目就从高速缓存中删除掉。用于防止存入高速缓存中的主机物理地址突然改变（例如主机B的网络适配器突然坏掉，B立即更换了一块，其硬件地址就改变了）。ARP欺骗在局域网中，黑客经过收到ARPRequest广播包，能够偷听到其它节点的(IP,MAC)地址,黑客就伪装为A，告诉B(受害者)一个假地址，使得B在发送给A的数据包都被黑客截取，而B浑然不知。ARP欺骗的危害ARP欺骗带来的危害可以分为几大类：网络异常。具体表现为：掉线、IP冲突等。数据窃取。具体表现为：个人隐私泄漏（如MSN聊天记录、邮件等）、账号被盗用（如QQ账号、银行账号等）。数据篡改。具体表现为：访问的网页被添加了恶意内容，俗称“挂马”。非法控制。具体表现为：网络速度、网络访问行为（例如某些网页打不开、某些网络应用程序用不了）受第三者非法控制。ARP欺骗的原理假设一个网络环境中，网内有三台主机，分别为主机A、B、C。主机详细信息如下描述：A的地址为：IP：192.168.10.1MAC:AA-AA-AA-AA-AA-AAB的地址为：IP：192.168.10.2MAC:BB-BB-BB-BB-BB-BBC的地址为：IP：192.168.10.3MAC:CC-CC-CC-CC-CC-CCARP欺骗的原理正常情况下A和C之间进行通讯，但是此时B向A发送一个自己伪造的ARP应答，而这个应答中的数据为发送方IP地址是192.168.10.3（C的IP地址），MAC地址是BB-BB-BB-BB-BB-BB（C的MAC地址本来应该是CC-CC-CC-CC-CC-CC，这里被伪造了）。当A接收到B伪造的ARP应答，就会更新本地的ARP缓存（A被欺骗了），这时B就伪装成C了。同时，B同样向C发送一个ARP应答，应答包中发送方IP地址四192.168.10.1（A的IP地址），MAC地址是BB-BB-BB-BB-BB-BB（A的MAC地址本来应该是AA-AA-AA-AA-AA-AA），当C收到B伪造的ARP应答，也会更新本地ARP缓存（C也被欺骗了），这时B就伪装成了A。这样主机A和C都被主机B欺骗，A和C之间通讯的数据都经过了B。主机B完全可以知道他们之间说的什么：）。这就是典型的ARP欺骗过程。ARP欺骗的种类第一种ARP欺骗——截获网关数据。它通知路由器一系列错误的内网MAC地址，并按照一定的频率不断进行，使真实的地址信息无法通过更新保存在路由器中，结果路由器的所有数据只能发送给错误的MAC地址，造成正常PC无法收到信息。第二种ARP欺骗——伪造网关。它的原理是建立假网关，让被它欺骗的PC向假网关发数据，而不是通过正常的路由器途径上网。在PC看来，就是上不了网了，“网络掉线了”。ARP欺骗的防护不要把网络安全信任关系建立在IP基础上或MAC基础上（RARP同样存在欺骗的问题），理想的关系应该建立在IP+MAC基础上。设置静态的MAC--IP对应表，不要让主机刷新设定好的转换表。除非很有必要，否则停止使用ARP，将ARP做为永久条目保存在对应表中。使用ARP服务器。通过该服务器查找自己的ARP转换表来响应其他机器的ARP广播。确保这台ARP服务器不被黑。使用“proxy”代理IP的传输。ARP欺骗的防护使用硬件屏蔽主机。设置好路由，确保IP地址能到达合法的路径（静态配置路由ARP条目），注意，使用交换集线器和网桥无法阻止ARP欺骗。管理员定期用响应的IP包中获得一个RARP请求，然后检查ARP响应的真实性。管理员定期轮询，检查主机上的ARP缓存。使用防火墙连续监控网络。注意有使用SNMP的情况下，ARP的欺骗有可能导致陷阱包丢失。若感染ARP病毒，可以通过清空ARP缓存、指定ARP对应关系、添加路由信息、使用防病毒软件等方式解决。