經常聽到身邊的朋友說,自己電腦的網絡又被啥啥攻擊了,經常有一些不道德的人用ARP欺騙軟件攻擊別人,讓很多人掉線,甚至讓整個網絡都癱瘓。針對這個問題,我們首先先來了解下它的攻擊原理及欺騙原理,深受其害的朋友們趕緊來看看。
一, ARP欺騙的原理如下:
假設這樣一個網絡,一個Hub接了3台機器
HostA HostB HostC 其中
A的地址為:IP:192.168.10.1 MAC: AA-AA-AA-AA-AA-AA
B的地址為:IP:192.168.10.2 MAC: BB-BB-BB-BB-BB-BB
C的地址為:IP:192.168.10.3 MAC: CC-CC-CC-CC-CC-CC
正常情況下 C:\arp -a
Interface: 192.168.10.1 on Interface 0x1000003
Internet Address Physical Address Type
192.168.10.3 CC-CC-CC-CC-CC-CC dynamic
現在假設HostB開始了罪惡的ARP欺騙:
B向A發送一個自己偽造的ARP應答,而這個應答中的數據為發送方IP地址是192.168.10.3(C的IP地址),MAC地址是DD-DD-DD-DD-DD-DD(C的MAC地址本來應該是CC-CC-CC-CC-CC-CC,這裡被偽造了)。當A接收到B偽造的ARP應答,就會更新本地的ARP緩存(A可不知道被偽造了)。而且A不知道其實是從B發送過來的,A這裡只有192.168.10.3(C的IP地址)和無效的DD-DD-DD-DD-DD-DD mac地址,沒有和犯罪分子B相關的證據,哈哈,這樣犯罪分子豈不樂死了。
現在A機器的ARP緩存更新了:
C:\>arp -a
Interface: 192.168.10.1 on Interface 0x1000003
Internet Address Physical Address Type
192.168.10.3 DD-DD-DD-DD-DD-DD dynamic
這可不是小事。局域網的網絡流通可不是根據IP地址進行,而是按照MAC地址進行傳輸。現在192.168.10.3的MAC地址在A上被改變成一個本不存在的MAC地址。現在A開始Ping 192.168.10.3,網卡遞交的MAC地址是DD-DD-DD-DD-DD-DD,結果是什麼呢?網絡不通,A根本不能Ping通C!!
所以,局域網中一台機器,反復向其他機器,特別是向網關,發送這樣無效假冒的ARP應答信息包,NND,嚴重的網絡堵塞就開始了!網吧管理員的噩夢開始了。我的目標和任務,就是第一時間,抓住他。不過從剛才的表述好像犯罪分子完美的利用了以太網的缺陷,掩蓋了自己的罪行。但其實,以上方法也有留下了蛛絲馬跡。盡管,ARP數據包沒有留下HostB的地址,但是,承載這個ARP包的ethernet幀卻包含了HostB的源地址。而且,正常情況下ethernet數據幀中,幀頭中的MAC源地址/目標地址應該和幀數據包中ARP信息配對,這樣的ARP包才算是正確的。如果不正確,肯定是假冒的包,可以提醒!但如果匹配的話,也不一定代表正確,說不定偽造者也考慮到了這一步,而偽造出符合格式要求,但內容假冒的ARP數據包。不過這樣也沒關系,只要網關這裡擁有本網段所有MAC地址的網卡數據庫,如果和Mac數據庫中數據不匹配也是假冒的ARP數據包。也能提醒犯罪分子動手了 上一頁12下一頁共2頁
