Tag Archives: ARP攻击

ARP攻击原理与防御

Posted on by 
-----BEGIN PGP SIGNED MESSAGE-----
Hash: SHA256

ARP协议

在局域网中,虽然我们习惯用IP地址来标识计算机,但在
网络数据传输过程中,真正起到地址作用的是“MAC地址”
。MAC(MediaAccessControl)地址又称物理地址,它通常由网卡
生产厂家烧入网卡的EPROM(一种闪存芯片),一般情况下
它是全球唯一的。

一个主机要和另一个主机直接通信,必须知道目标主机的
MAC地址。ARP协议“AddressResolutionProtocol(地址解析协议)
”的基本功能就是通过目标设备的IP地址,查询目标设备
的MAC地址,以保证通信的顺利进行。

每台安装有TCP/IP协议的电脑里都有一个ARP缓存表,表里的
IP地址与MAC地址是一一对应的,我们可以通过在DOS命令提
示符下,输入arp-a来获得本机的ARP缓存表。

如果在ARP缓存表中没有找到相对应的IP地址,主机就会在
网络上发送一个广播,目标IP的主机接收到这个帧时,会
向主机做出相应的回应。这样,主机就知道了目标主机的
MAC地址,就可以向目标主机发送信息了。
ARP攻击原理

ARP攻击的最主机手段就是用伪造源ARP地址发送ARP回应包,
对ARP高速缓存机制的攻击。攻击者持续不断地发出伪造的
ARP响应包就能更改目标主机ARP缓存中的IPMAC条目,造成网
络中断或中间人攻击。

当计算机接收到ARP应答数据包的时候,就会对本地的ARP缓
存进行更新,将应答中的IP和MAC地址存储在ARP缓存中,因
此,B向A发送一个自己伪造的ARP应答,而这个应答中的数
据为发送方IP地址是192.168.10.3(C的IP地址),MAC地址是DD-D
D-DD-DD-DD-DD(C的MAC地址本来是CC-CC-CC-CC-CC-CC,这里被伪造
了)。当A接收到B伪造的ARP应答,就会更新本地的ARP缓存
(A可不知道被伪造了)。当攻击源大量向局域网中发送
虚假的ARP信息后,就会造成局域网中的机器ARP缓存的崩溃
。
ARP攻击的目的和现象

当局域网内某台主机运行ARP的欺骗木马程序时,会欺骗局
域网内所有主机和路由器,让所有上网的流量必须经过病
毒主机。其他用户原来直接通过路由器上网,现在则转由
通过病毒主机上网。

这样做的目的有很多,比如用户已经登录了网游服务器,
病毒主机就会经常伪造断线的假象,那么用户就得重新登
录网游服务器,病毒主机就可以趁机盗号。所以当遇到正
面几个情况的时候,一定要注意可能是网络中出现了ARP木
马。

1.上网速度突然变得异常的缓慢;
2.经常断线;
3.访问所有网站杀毒软件都会弹出窗口报告页面有病毒。

当怀疑局域网中存在ARP攻击时,可以打开DOS命令提示符,
输入“arp-d”,清空ARP列表。如果能够恢复网络访问,则
基本可以确定局域网中存在ARP攻击,或者有电脑染上了ARP
病毒。接下来可以反复查看ARP列表,也就是反复地使用“
arp-a”命令(期间不要进行网络通信),如果发现除了网
关以外的某个IP地址会自动出现在列表中,而这个IP又没
有和本机进行实质的数据通信,则基本可以确定攻击源,
接下来需要断开该计算机的网络连接并彻底杀毒。
应对ARP欺骗攻击

面对凶猛的ARP攻击,以上提到的方法只能应急,该如何进
行全面防范呢?利用AntiARPSniff,可以保护你的网卡和网关
的通讯不被第三方监听,让ARP攻击对你的爱机无技可施。
AntiARPSniff可以100%防御所有利用ARP技术的恶意程序,发现
异常并自动重写ARP数据,它还具备追踪ARP攻击者的功能,
能够追踪对方的IP地址,这样我们就能找出ARP攻击的“始
作俑者”。

在AntiARPSniff主窗口的“网关地址”栏中输入网关地址,点
击“获取MAC”按钮,获得网关的MAC地址,之后点击“自动
保护”按钮,即可开启ARP攻击保护功能,当局域网中有人
试图对本机进行攻击时,AntiARPSniff即可出现ARP欺骗提示信
息,在“欺骗数据详细记录”列表中显示ARP欺骗攻击事件
信息。从中选中合适的ARP攻击事件,点击“追捕攻击者”
按钮,即可得到攻击者的IP和MAC地址信息了,据此可以轻
松找出局域网中的“破坏分子”。对于饱受ARP攻击之苦的
用户,AntiARPSniff能让你轻松摆脱烦恼。

通过参数设置,可以提高ARP防火墙的安全性能。点“工具
→配置”,可以把“主动防御”设置为“始终防御”,“
防御选项”的“ARP防御”可以设置为“安全模式”,这样
安全性就会更高。

-----BEGIN PGP SIGNATURE-----
Version: PGP Desktop 10.0.1 (Build 4054)
Charset: utf-8

wsBVAwUBTKKeH9qgKng0ZFyJAQhoxwf/XT3y++C6ACf/kslEA4g4UnghMWVZElM8
xIRvor6iimsyzt5oAJJPgPBPBxwaNHVmT06VTATXOuR7cjf414JaPxstOczi9dGc
HI2knzEUC5dvtJbTfWEKwffiudqZZ7DKE5d/udyK8mccOnf3sJIofhSE2wW3qLN1
AabZu/SRnzDXfAixupjgvTV0QP09+SMRO4faR1bVh6tYqF662aDbqjPLf24y6g1t
/FK8UGcbmGNXGaU/YaouByIxPhX/fomEyJxubefkhVRQa8MgqBAdo+NlYJnrSTrR
FpzNx7l86VGsR1ocvCjMPH04qRqjS/7YkvHS1uiJcP6pwfz4X3fVxw==
=rPGe
-----END PGP SIGNATURE-----