使用ARP -A命令查看PC上的ARP缓存表
利用ARP协议的缓存更新不需要验证的特点,就可以冒用一个合法IP,对同网络的数据进行嗅探,而这正是ARP欺骗病毒所采用的手段 。假设有3台主机分别为A、B、C,其中主机C已经感染了ARP地址欺骗病毒 。正常情况下,主机A与主机B通信对于主机C是不可见的,但是,主机C利用ARP欺骗技术,实现了交换网络下的嗅探 。其主要步骤如下:
(1)主机C向主机A发送一个非法ARP响应,将主机A的ARP缓存中B的MAC地址篡改为C的MAC地址 。
(2)主机C向主机B发送一个非法ARP响应,将主机B的ARP缓存中A的MAC地址篡改为C的MAC地址
(3)在主机C上启动IP Forward(IP转发)功能 。
于是,主机A与主机B之间的通道由主机A到主机B变成主机A到主机C再到主机B,主机C作为“中介”,转发主机A与主机B通信产生的所有数据包 。这样,在光天化日之下,主机C竟然劫持了所有主机A和主机B之间通信的数据,这就是ARP地址欺骗的过程 。
另一个情况,假设一个网络中的两台主机,A与B,当主机B冒充网关的情形下,由于局域网中的电脑连接外网时,也就是登录互联网的时候,都要经过局域网中的网关转发一下,所有收发的数据都要先经过网关,再由网关发向互联网 。这也就意味着电脑B能截获并篡改所有局域网到互联网、互联网到局域网的数据 。
ARP欺骗种类
(1)拒绝服务攻击:拒绝服务攻击就是使目标主机不能响应外界请求,从而不能对外提供服务的攻击方法 。如果攻击者将目标主机ARP缓存中的MAC地址全部改为根本就不存在的地址,那么目标主机向外发送的所有以太网数据帧会丢失,使得上层应用忙于处理这种异常而无法响应外来请求,也就导致目标主机产生拒绝服务 。
(2)中间人攻击:中间人攻击就是攻击者将自己的主机插入两个目标主机通信路径之间,使他的主机如同两个目标主机通信路径上的一个中继,这样攻击者就可以监听两个目标主机之间的通信 。例如局域网内的三台机子A、S、D,现在A要监听S与D之间的通信 。攻击过程如下:A侵染目标主机S与D的ARP缓存,使得S向D发送数据时,使用的是D的IP地址与A的MAC地址,并且D向S发送数据时,使用的是S的IP地址与A的MAC地址,因此所有S与D之间的数据都将经过A,再由A转发给他们 。
如果攻击者对一个目标主机与它所在局域网的路由器实施中间人攻击,那么攻击者就可以截取Internet与这个目标主机的之间的全部通信 。
(3)多主机欺骗:篡改被攻击主机群中关于网络内某一台主机X的ARP记录,被攻击的主机群为网络中的多台主机而非一台主机 。主机X为网关或网络内任何一台非网关的正在运行主机 。被篡改后的MAC地址可以为网络内正在运行的主机MAC地址或随机伪造的不存在主机的MAC地址 。
【局域网ARP攻击方式知多少】T时刻,主机A关于主机X的ARP记录被篡改;
T N时刻,主机B关于主机X的ARP记录被篡改;
………
T M时刻,主机Z关于主机X的ARP记录被篡改;
例如当攻击主机要仿冒网关就会向局域网内的主机群发送ARP数据包,以自身MAC地址来冒充真正的网关,使受骗主机群的ARP缓冲区的MAC地址错误地更新为攻击源的MAC地址,导致受骗主机群向假网关发送通信信息,而不是通过路由器或交换途径寻找真正的网关并发送通信信息 。这时攻击主机可以把自己设置成一台路由器负责对数据包转发,从而达到仿冒网关的目的 。这是一种比较常见的欺骗形式,这种欺骗方式可以控制同一网关下的所有主机对网络的访问 。网吧内经常发生游戏密码被盗现象就是因为遭受到仿冒网关的ARP攻击 。
推荐阅读
- 一 避开误区 安全无线局域网搭建方案
- 局域网网络故障排除策略
- 局域网十大故障
- 本机+网关 最简ARP绑定批处理
- 如何快速寻找局域网中邻居主机?
- 能联机的局域网经营类游戏
- ARP病毒入侵原理和解决方案
- 局域网限制与反限制
- 局域网组成部分有哪些 局域网组成部分
- 饥荒如何防止蜜蜂攻击