ARP协议,以及ARP欺骗
生活随笔
收集整理的這篇文章主要介紹了
ARP协议,以及ARP欺骗
小編覺得挺不錯(cuò)的,現(xiàn)在分享給大家,幫大家做個(gè)參考.
1.定義:
地址解析協(xié)議,即ARP(Address Resolution Protocol),是根據(jù)IP地址獲取物理地址的一個(gè)TCP/IP協(xié)議。主機(jī)發(fā)送信息時(shí)將包含目標(biāo)IP地址的ARP請(qǐng)求廣播到網(wǎng)絡(luò)上的所有主機(jī),并接收返回消息,以此確定目標(biāo)的物理地址;收到返回消息后將該IP地址和物理地址存入本機(jī)ARP緩存中并保留一定時(shí)間,下次請(qǐng)求時(shí)直接查詢ARP緩存以節(jié)約資源。地址解析協(xié)議是建立在網(wǎng)絡(luò)中各個(gè)主機(jī)互相信任的基礎(chǔ)上的,網(wǎng)絡(luò)上的主機(jī)可以自主發(fā)送ARP應(yīng)答消息,其他主機(jī)收到應(yīng)答報(bào)文時(shí)不會(huì)檢測(cè)該報(bào)文的真實(shí)性就會(huì)將其記入本機(jī)ARP緩存;由此攻擊者就可以向某一主機(jī)發(fā)送偽ARP應(yīng)答報(bào)文,使其發(fā)送的信息無法到達(dá)預(yù)期的主機(jī)或到達(dá)錯(cuò)誤的主機(jī),這就構(gòu)成了一個(gè)ARP欺騙。ARP命令可用于查詢本機(jī)ARP緩存中IP地址和MAC地址的對(duì)應(yīng)關(guān)系、添加或刪除靜態(tài)對(duì)應(yīng)關(guān)系等。相關(guān)協(xié)議有RARP、代理ARP。NDP用于在IPv6中代替地址解析協(xié)議。
2.工作過程:
主機(jī)A的IP地址為192.168.1.1,MAC地址為0A-11-22-33-44-01; 主機(jī)B的IP地址為192.168.1.2,MAC地址為0A-11-22-33-44-02; 當(dāng)主機(jī)A要與主機(jī)B通信時(shí),地址解析協(xié)議可以將主機(jī)B的IP地址(192.168.1.2)解析成主機(jī)B的MAC地址,以下為工作流程: 第1步:根據(jù)主機(jī)A上的路由表內(nèi)容,IP確定用于訪問主機(jī)B的轉(zhuǎn)發(fā)IP地址是192.168.1.2。然后A主機(jī)在自己的本地ARP緩存中檢查主機(jī)B的匹配MAC地址。 第2步:如果主機(jī)A在ARP緩存中沒有找到映射,它將詢問192.168.1.2的硬件地址,從而將ARP請(qǐng)求幀廣播到本地網(wǎng)絡(luò)上的所有主機(jī)。源主機(jī)A的IP地址和MAC地址都包括在ARP請(qǐng)求中。本地網(wǎng)絡(luò)上的每臺(tái)主機(jī)都接收到ARP請(qǐng)求并且檢查是否與自己的IP地址匹配。如果主機(jī)發(fā)現(xiàn)請(qǐng)求的IP地址與自己的IP地址不匹配,它將丟棄ARP請(qǐng)求。 第3步:主機(jī)B確定ARP請(qǐng)求中的IP地址與自己的IP地址匹配,則將主機(jī)A的IP地址和MAC地址映射添加到本地ARP緩存中。 第4步:主機(jī)B將包含其MAC地址的ARP回復(fù)消息直接發(fā)送回主機(jī)A。 第5步:當(dāng)主機(jī)A收到從主機(jī)B發(fā)來的ARP回復(fù)消息時(shí),會(huì)用主機(jī)B的IP和MAC地址映射更新ARP緩存。本機(jī)緩存是有生存期的,生存期結(jié)束后,將再次重復(fù)上面的過程。主機(jī)B的MAC地址一旦確定,主機(jī)A就能向主機(jī)B發(fā)送IP通信了 3.工作要素:ARP緩存 查看ARP緩存?[2] ARP緩存是個(gè)用來儲(chǔ)存IP地址和MAC地址的緩沖區(qū),其本質(zhì)就是一個(gè)IP地址-->MAC地址的對(duì)應(yīng)表,表中每一個(gè)條目分別記錄了網(wǎng)絡(luò)上其他主機(jī)的IP地址和對(duì)應(yīng)的MAC地址。每一個(gè)以太網(wǎng)或令牌環(huán)網(wǎng)絡(luò)適配器都有自己?jiǎn)为?dú)的表。當(dāng)?shù)刂方馕鰠f(xié)議被詢問一個(gè)已知IP地址節(jié)點(diǎn)的MAC地址時(shí),先在ARP緩存中查看,若存在,就直接返回與之對(duì)應(yīng)的MAC地址,若不存在,才發(fā)送ARP請(qǐng)求向局域網(wǎng)查詢。 為使廣播量最小,ARP維護(hù)IP地址到MAC地址映射的緩存以便將來使用。ARP緩存可以包含動(dòng)態(tài)和靜態(tài)項(xiàng)目。動(dòng)態(tài)項(xiàng)目隨時(shí)間推移自動(dòng)添加和刪除。每個(gè)動(dòng)態(tài)ARP緩存項(xiàng)的潛在生命周期是10分鐘。新加到緩存中的項(xiàng)目帶有時(shí)間戳,如果某個(gè)項(xiàng)目添加后2分鐘內(nèi)沒有再使用,則此項(xiàng)目過期并從ARP緩存中刪除;如果某個(gè)項(xiàng)目已在使用,則又收到2分鐘的生命周期;如果某個(gè)項(xiàng)目始終在使用,則會(huì)另外收到2分鐘的生命周期,一直到10分鐘的最長生命周期。靜態(tài)項(xiàng)目一直保留在緩存中,直到重新啟動(dòng)計(jì)算機(jī)為止 4.ARP命令ARP緩存中包含一個(gè)或多個(gè)表,它們用于存儲(chǔ)IP地址及其經(jīng)過解析的MAC地址。ARP命令用于查詢本機(jī)ARP緩存中IP地址-->MAC地址的對(duì)應(yīng)關(guān)系、添加或刪除靜態(tài)對(duì)應(yīng)關(guān)系等。如果在沒有參數(shù)的情況下使用,ARP命令將顯示幫助信息。 常見用法 arp -a或arp –g 用于查看緩存中的所有項(xiàng)目。-a和-g參數(shù)的結(jié)果是一樣的,多年來-g一直是UNIX平臺(tái)上用來顯示ARP緩存中所有項(xiàng)目的選項(xiàng),而Windows用的是arp -a(-a可被視為all,即全部的意思),但它也可以接受比較傳統(tǒng)的-g選項(xiàng)。 arp -a Ip 如果有多個(gè)網(wǎng)卡,那么使用arp -a加上接口的IP地址,就可以只顯示與該接口相關(guān)的ARP緩存項(xiàng)目。 5.APR欺騙機(jī)制 ARP欺騙的運(yùn)作原理是由攻擊者發(fā)送假的ARP數(shù)據(jù)包到網(wǎng)上上,尤其是送到網(wǎng)關(guān)上。其目的是要讓送至特定的IP地址的流量被錯(cuò)誤送到攻擊者所取代的地方。因此攻擊者可將這些流量另行轉(zhuǎn)送到真正的網(wǎng)關(guān)(被動(dòng)式數(shù)據(jù)包嗅探,passive sniffing)或是篡改后再轉(zhuǎn)送(中間人攻擊,man-in-the-middle attack)。攻擊者亦可將ARP數(shù)據(jù)包導(dǎo)到不存在的MAC地址以達(dá)到阻斷服務(wù)攻擊的效果,例如netcut軟件。 例如某一的IP地址是192.168.0.254,其MAC地址為00-11-22-33-44-55,網(wǎng)上上的計(jì)算機(jī)內(nèi)ARP表會(huì)有這一筆ARP記錄。攻擊者發(fā)動(dòng)攻擊時(shí),會(huì)大量發(fā)出已將192.168.0.254的MAC地址篡改為00-55-44-33-22-11的ARP數(shù)據(jù)包。那么網(wǎng)上上的計(jì)算機(jī)若將此偽造的ARP寫入自身的ARP表后,計(jì)算機(jī)若要透過網(wǎng)上網(wǎng)關(guān)連到其他計(jì)算機(jī)時(shí),數(shù)據(jù)包將被導(dǎo)到00-55-44-33-22-11這個(gè)MAC地址,因此攻擊者可從此MAC地址截收到數(shù)據(jù)包,可篡改后再送回真正的網(wǎng)關(guān),或是什么也不做,讓網(wǎng)上無法連線。 簡(jiǎn)單案例分析:這里用一個(gè)最簡(jiǎn)單的案例來說明ARP欺騙的核心步驟。假設(shè)在一個(gè)LAN里,只有三臺(tái)主機(jī)A、B、C,且C是攻擊者。
轉(zhuǎn)載于:https://www.cnblogs.com/yinlili/p/9887745.html
總結(jié)
以上是生活随笔為你收集整理的ARP协议,以及ARP欺骗的全部?jī)?nèi)容,希望文章能夠幫你解決所遇到的問題。
- 上一篇: 工商信用卡逾期一天有影响吗?这些后果不得
- 下一篇: 数组洗牌 Fisher Yates