ARP协议及ARP欺骗
ARP协议及ARP欺骗
一、什么是ARP协议
地址解析协议,即ARP(Address Resolution Protocol),是根据IP地址获取物理地址(MAC地址)的一个TCP/IP协议。主机发送信息时将包含目标IP地址的ARP请求广播到局域网络上的所有主机,并接收返回消息,以此确定目标的物理地址。
简单来说,arp协议的实现就是主机在发送帧前将目标IP地址转换成目标MAC地址的过程。
那为什么要知道通信电脑的MAC地址呢?
因为,在局域网中通信时使用的时MAC地址,而不是IP地址,所以在局域网下的两台主机通信,必须知道双方的MAC地址,这也就是ARP协议的功能。
二、什么是ARP欺骗
百度词条
ARP欺骗(英语:ARP spoofing),又称ARP毒化(ARP poisoning,网络上多译为ARP病毒)或ARP攻击,是针对以太网地址解析协议(ARP)的一种攻击技术,通过欺骗局域网内访问者PC的网关MAC地址,使访问者PC错以为攻击者更改后的MAC地址是网关的MAC,导致网络不通。此种攻击可让攻击者获取局域网上的数据包甚至可篡改数据包,且可让网络上特定计算机或所有计算机无法正常连线。
| 主机 | IP | MAC |
|---|---|---|
| PC0 | 192.168.1.1 | 0A-11-22-33-44-01 |
| PC1 | 192.168.1.2 | 0A-11-22-33-44-02 |
| PC2(攻击者) | 192.168.1.3 | 0A-11-22-33-44-03 |
-
如图所示,三台计算机处于同一局域网之下
-
当0要与1通信,但并不知到1的MAC地址,于是1就会发送一个ARP广播,询问谁是192.168.1.2,你的MAC地址是啥?
-
这时,攻击者(PC2)就疯狂给0回复,我是192.168.1.2,我的MAC地址为0A-11-22-33-44-03
-
于是PC0就接受到信息,当0给192.168.1.2发信息时,就会发送到MAC地址为0A-11-22-33-44-03的PC2
注意:ARP欺骗只能在局域网之下实现
三、ARP欺骗的分类
-
对路由器ARP表的欺骗。
原理为截取网关的数据,它通知路由器一系列错误的内网MAC地址,并按照必定的频率不断进行,使真实的地址信息没法经过更新保存在路由器中,结果路由器的全部数据只能发送给错误的MAC地址,形成正常PC没法收到信息。
-
对内网PC的网关欺骗。
原理为伪造网关,让被它欺骗的PC向假网关发数据,而不是经过正常的路由器途径上网。
四、ARP攻击现象及危害
攻击现象:
- ping有时延,经常丢包或不通
- 让用户的网络发生异常,经常掉线或者显示IP地址冲突,甚至大范围断网
- 设备CPU占用率较高
危害:
- 基本的危害是阻塞正常的网络带宽,造成网络拥堵。
- ARP可以造成中间人攻击,攻击者可以窃取用户敏感信息,实现数据的监听、篡改、重放、钓鱼等
浙公网安备 33010602011771号