ARP网关欺骗原理及解决办法
一.什么是ARP協議?
ARP協議是“Address Resolution Protocol”(地址解析協議)的縮寫。在局域網中,網絡中實際傳輸的是“幀”,幀里面是有目標主機的MAC地址的。在以太網中,一個主機要和另一個主機進行直接通信,必須要知道目標主機的MAC地址。但這個目標主機的MAC地址是如何獲得的呢?它就是通過地址解析協議獲得的。所謂“地址解析”就是主機在發送幀前將目標IP地址轉換成目標MAC地址的過程。ARP協議的基本功能就是通過目標設備的IP地址,查詢目標設備的MAC地址,以保證通信的順利進行。所以說從某種意義上講ARP協議是工作在更低于IP協議的層次。這也是為什么ARP欺騙更能夠讓人在神不知鬼不覺的情況下出現網絡故障,他的危害更加隱蔽。
二.ARP欺騙的原理:
首先我們可以肯定一點的就是發送ARP欺騙包是通過一個惡毒的程序自動發送的,正常的TCP/IP網絡是不會有這樣的錯誤包發送的,而人工發送又比較麻煩。也就是說當黑客沒有運行這個惡毒程序的話,網絡上通信應該是一切正常的,保留在各個連接網絡計算機上的ARP緩存表也應該是正確的,只有程序啟動開始發送錯誤ARP信息以及ARP欺騙包時才會讓某些計算機訪問網絡出現問題。接下來我們來闡述下ARP欺騙的原理。
第一步:假設這樣一個網絡,一個Hub或交換機連接了3臺機器,依次是計算機A,B,C。
A的地址為:IP:192.168.1.1 MAC: AA-AA-AA-AA-AA-AA
B的地址為:IP:192.168.1.2 MAC: BB-BB-BB-BB-BB-BB
C的地址為:IP:192.168.1.3 MAC: CC-CC-CC-CC-CC-CC
第二步:正常情況下在A計算機上運行ARP -A查詢ARP緩存表應該出現如下信息。
Interface: 192.168.1.1 on Interface 0x1000003
Internet Address Physical Address Type
192.168.1.3 CC-CC-CC-CC-CC-CC dynamic
第三步:在計算機B上運行ARP欺騙程序,來發送ARP欺騙包。
B向A發送一個自己偽造的ARP應答,而這個應答中的數據為發送方IP地址是192.168.10.3(C的IP地址),MAC地址是DD-DD-DD-DD-DD-DD(C的MAC地址本來應該是CC-CC-CC-CC-CC-CC,這里被偽造了)。當A接收到B偽造的ARP應答,就會更新本地的ARP緩存(A可不知道被偽造了)。而且A不知道其實是從B發送過來的,A這里只有192.168.10.3(C的IP地址)和無效的DD-DD-DD-DD-DD-DD mac地址。
第四步:欺騙完畢我們在A計算機上運行ARP -A來查詢ARP緩存信息。你會發現原來正確的信息現在已經出現了錯誤。
Interface: 192.168.1.1 on Interface 0x1000003
Internet Address Physical Address Type
192.168.1.3 DD-DD-DD-DD-DD-DD dynamic
從上面的介紹我們可以清楚的明白原來網絡中傳輸數據包最后都是要根據MAC地址信息的,也就是說雖然我們日常通訊都是通過IP地址,但是最后還是需要通過ARP協議進行地址轉換,將IP地址變為MAC地址。而上面例子中在計算機A上的關于計算機C的MAC地址已經錯誤了,所以即使以后從A計算機訪問C計算機這個192.168.1.3這個地址也會被ARP協議錯誤的解析成MAC地址為DD-DD-DD-DD-DD-DD的。
問題也會隨著ARP欺騙包針對網關而變本加厲,當局域網中一臺機器,反復向其他機器,特別是向網關,發送這樣無效假冒的ARP應答信息包時,嚴重的網絡堵塞就會開始。由于網關MAC地址錯誤,所以從網絡中計算機發來的數據無法正常發到網關,自然無法正常上網。這就造成了無法訪問外網的問題,另外由于很多時候網關還控制著我們的局域網LAN上網,所以這時我們的LAN訪問也就出現問題了。
三.ARP欺騙的危害:
前面也提到了ARP欺騙可以造成內部網絡的混亂,讓某些被欺騙的計算機無法正常訪問內外網,讓網關無法和客戶端正常通信。實際上他的危害還不僅僅如此,一般來說IP地址的沖突我們可以通過多種方法和手段來避免,而ARP協議工作在更低層,隱蔽性更高。系統并不會判斷ARP緩存的正確與否,無法像IP地址沖突那樣給出提示。而且很多黑客工具例如網絡剪刀手等,可以隨時發送ARP欺騙數據包和ARP恢復數據包,這樣就可以實現在一臺普通計算機上通過發送ARP數據包的方法來控制網絡中任何一臺計算機的上網與否,甚至還可以直接對網關進行攻擊,讓所有連接網絡的計算機都無法正常上網。這點在以前是不可能的,因為普通計算機沒有管理權限來控制網關,而現在卻成為可能,所以說ARP欺騙的危害是巨大的,而且非常難對付,非法用戶和惡意用戶可以隨時發送ARP欺騙和恢復數據包,這樣就增加了網絡管理員查找真兇的難度。那么難道就沒有辦法來阻止ARP欺騙問題的發生嗎?
四.防范措施
????正常情況下,用arp -a 命令只會看到網關信息,如:
????C:\Documents and Settings\Administrator>arp -a
??Interface: 172.16.102.155 on Interface 0x1000003
??Internet Address??????Physical Address??????Type
??172.16.102.1??????????00-0a-f3-6d-33-fc?????dynamic
????如果網關ip被別的計算機偽裝,MAC地址就不是正常網關的MAC地址,此時你的計
算機就不能正常上網。
???C:\Documents and Settings\Administrator>arp -a
??Interface: 172.16.102.155 on Interface 0x1000003
??Internet Address??????Physical Address??????Type
??172.16.102.1??????????00-0c-f1-e9-20-20?????dynamic(注意這里的MAC已變了)
??172.16.102.145????????00-15-60-0c-83-f4?????dynamic
??172.16.102.99?????????00-02-55-a6-79-03?????dynamic
??
建議用戶采用雙向綁定的方法解決并且防止ARP欺騙。
1、首先,獲得網關的MAC地址。(在正常時,從上面可以看出172.16.102.1的MAC
地址是 00-0a-f3-6d-33-fc 。建議大家把自己網段網關的MAC地址記下來,免得在
出現問題時不知道本網段網關的MAC地址)
????2、然后在DOS命令下執行以下兩條命令:
??????
???????1)先刪除現有的MAC-->IP對應表:arp -d
???????2)設置靜態的網關MAC-->IP對應表 : arp -s 網關ip 網關MAC
??????????如:arp -s 172.16.102.1 00-0a-f3-6d-33-fc
????
????執行后的的情況如下:
??????????C:\Documents and Settings\Administrator>arp -a
???????????Interface: 172.16.102.155 on Interface 0x1000003
???????????Internet Address??????Physical Address??????Type
???????????172.16.102.1??????????00-0a-f3-6d-33-fc?????static (注意這里已變成
靜態的)??????
??????
為了省事,你還可以編寫一個批處理文件rarp.bat,讓計算機每次啟動時就執行一
次,內容如下:
@echo off
arp -d
arp -s 本網段網關ip 網關MAC
將文件中的網關IP地址和MAC地址更改為您自己的網關IP地址和MAC地址即可。
將這個批處理軟件拖到“windows--開始--程序--啟動”中。
?
總結
以上是生活随笔為你收集整理的ARP网关欺骗原理及解决办法的全部內容,希望文章能夠幫你解決所遇到的問題。
- 上一篇: MariaDB数据库5-password
- 下一篇: docker数据持久化数据卷