arp協議的缺陷
我們知道病毒往往都是通過網路協議的缺陷來開展攻擊,那麼arp協議的缺陷是什麼呢?
arp協議是建立在信任區域網內所有節點的基礎上的,他的效率很高。但是不安全。它是無狀態的協議。他不會檢查自己是否發過請求包,也不知道自己是否發過請求包。他也不管是否合法的應答,只要收到目標mac位址是自己的arp reply或者arp廣播包(包括arp reply和arp request),都會接受並快取。
arp攻擊原理
arp欺騙攻擊建立在區域網主機間相互信任的基礎上的。
可是此時ip位址是192.168.0.4的c也非法回了:我是ip192.168.0.3,我的硬體位址是mac-c。而且是大量的,所以a就會誤信192.168.0.3的硬體位址是mac-c,而且動態更新快取表,這樣主機c就劫持了主機a傳送給主機b的資料,這就是arp欺騙的過程。
假如c直接冒充閘道器,此時主機c會不停的傳送arp欺騙廣播,大聲說:我的ip是192.168.0.1,我的硬體位址是mac-c,此時區域網內所有主機都被欺騙,更改自己的快取表,此時c將會監聽到整個區域網傳送給網際網路的資料報。
攻擊形式
1、從協議內部分析
-假冒arp reply包(單波或廣播),向單台主機或多台主機傳送虛假的ip/mac位址
-假冒arp request包(單播或廣播),實際上是單播或廣播虛假的ip、mac對映。
-假冒中間人,啟用包**向兩端主機傳送假冒的arp reply,由於arp快取的老化機制,有時還需要做週期性連續性欺騙。
2. 從影響網路連線通暢的角度看
-對路由arp表的欺騙
arp病毒截獲閘道器資料,讓路由器獲得錯誤的內網mac位址,導致路由器把資料傳送給錯誤的mac,是內網內的主機斷網
-偽造內網閘道器
arp病毒通過冒充閘道器,是內網計算機傳送的資料無法到達真正的路由器閘道器,導致內網計算機斷網
arp欺騙攻擊檢測技術
1、手動監測
網路管理員可以通過命令檢視主機的arp表或路由器的arp表
也可以用sniffer工具進行抓包,檢視可疑的位址對映
2.動態監測
- 被動監測 (arp watch,arp guard)
僅監測網路中是否存在arp欺騙,不主動向外傳送arp報文
-主動監測(arp防火牆)
能夠動態的監測區域網內針對本主機和針對閘道器的arp欺騙,但如果配置錯誤,arp防火牆會向區域網內傳送大量的arp報文,造成arp報文的廣播風暴,影響網路通訊。
arp欺騙攻擊的防禦
-arp雙向繫結
在pc端上 ip+mac 繫結
在網路裝置(交換路由)上 採用ip+mac+埠繫結
閘道器也進行ip和mac的靜態繫結
-採用支援arp過濾的防火牆
-建立dhcp伺服器
arp攻擊一般先攻擊閘道器,將dhcp伺服器建立在閘道器上
-劃分安全區域
arp廣播包是不能跨子網或網段傳播的,網段可以隔離廣播包。vlan就是乙個邏輯廣播域,通過vlan技術可以在區域網中建立多個子網,就在區域網中隔離了廣播。。縮小感染範圍。 但是,安全域劃分太細會使區域網的管理和資源共享不方便。
構造ARP包發包
arp分為請求包以及響應包 opcode中的 表示請求以及響應 使用wireshark抓包可見,opcode為1可知這是乙個請求包 再來看看響應包,它的opcode為2 在使用scapy模組構造,arp應答包時,我們採用的是第二層發包 就是根據我們第二層中的封裝的幀頭來發包 ptk2 ether a...
子網掩碼,閘道器與ARP協議的作用
通過簡單的實驗深入透析子網掩碼,閘道器與arp協議的作用 劉郁恆 中山大學電子與通訊工程系博士,中山大學思科網路技術學院資深講師 子網掩碼,閘道器與arp協議的概念和工作原理是學習網路知識的初學者首先遇到的幾個重要的知識點,其中子網掩碼與arp協議的作用和基本工作原理更是思科網路技術學院教程seme...
socket,UDP傳送ARP包 c 實現
內容可能和網上很多大神寫的類似,我也沒有什麼創新的地方,全當寫日記了,學了網路程式設計和計算機系統之後,覺得對ip資料報有了些了解,所以想嘗試一下能不能寫出區域網arp攻擊工具出來.以下是思路1.先了解arp攻擊 的原理,攻擊物件是我舍友,我想要讓他不能正常上網,所以給他傳送arp閘道器欺騙包,告訴...