什么是ARP投毒?ARP欺骗示例
Oliver Jones 什么是 ARP 欺骗(ARP 欺骗)
ARP 是地址解析协议 (Address Resolution Protocol) 的缩写。它用于在交换机上将 IP 地址转换为物理地址(MAC 地址)。主机在网络上发送 ARP 广播,接收方计算机以其物理地址(MAC 地址)进行响应。然后,解析出的 IP/MAC 地址用于通信。ARP 欺骗是向交换机发送假的 MAC 地址,以便它将假的 MAC 地址与网络上真实计算机的 IP 地址关联起来,从而劫持流量。
ARP 欺骗攻击的类型
- 中间人攻击
- 流量拦截
- 拒绝服务 (DoS) 攻击
如何防止 ARP 欺骗攻击
静态 ARP 条目:这些条目可以定义在本地 ARP 缓存中,并且配置交换机忽略所有自动 ARP 回复包。这种方法的缺点是,在大网络中难以维护。IP/MAC 地址映射必须分发到网络上的所有计算机。
ARP 欺骗检测软件:这些系统可用于交叉检查 IP/MAC 地址解析,并在经过身份验证时进行确认。然后可以阻止未经认证的 IP/MAC 地址解析。
操作系统安全:此措施取决于所使用的操作系统。以下是各种操作系统使用的基本技术。
- 基于 Linux:这些系统通过忽略无请求的 ARP 回复包来工作。
- Microsoft Windows:可以通过注册表配置 ARP 缓存的行为。以下列表包含一些可用于保护网络免受嗅探的软件;
- AntiARP - 提供防范主动和被动嗅探的保护
- Agnitum Outpost Firewall - 提供防范被动嗅探的保护
- XArp - 提供防范主动和被动嗅探的保护
- Mac OS:可以使用 ArpGuard 提供保护。它可以防范主动和被动嗅探。
黑客活动:在 Windows 中配置 ARP 条目
我们将在本次练习中使用 Windows 7,但这些命令也应该可以在其他 Windows 版本上运行。
打开命令提示符并输入以下命令
arp –a
此处,
- apr 调用位于 Windows/System32 目录中的 ARP 配置程序
- -a 是显示 ARP 缓存内容的参数
您将得到类似以下的结果
注意:在使用与远程计算机的 TCP/IP 会话时,动态条目会自动添加和删除。
静态条目是手动添加的,当计算机重启、网络接口卡重启或其他影响它的活动发生时,它们会被删除。
添加静态条目
打开命令提示符,然后使用 ipconfig /all 命令获取 IP 和 MAC 地址
MAC 地址表示为“物理地址”,IP 地址表示为“IPv4 地址”
输入以下命令
arp –s 192.168.1.38 60-36-DD-A6-C5-43
注意:IP 地址和 MAC 地址将与此处使用的不同。这是因为它们是唯一的。
使用以下命令查看 ARP 缓存
arp –a
您将看到以下结果
请注意,IP 地址已解析为我们提供的 MAC 地址,并且它是静态类型。
删除 ARP 缓存条目
使用以下命令删除条目
arp –d 192.168.1.38
附注:ARP 欺骗通过向交换机发送假的 MAC 地址来工作
什么是 IP 地址和 MAC 地址
IP 地址是 Internet Protocol address 的缩写。Internet Protocol 地址用于唯一标识计算机或设备,例如网络上的打印机、存储磁盘。目前有两种 IP 地址版本。IPv4 使用 32 位数字。由于互联网的大规模增长,IPv6 已被开发出来,它使用 128 位数字。
IPv4 地址由四组数字组成,数字之间用点分隔。最小数字是 0,最大数字是 255。例如,一个 IPv4 地址如下所示:
127.0.0.1
IPv6 地址由六组数字组成,数字之间用冒号分隔。组数字写为 4 个十六进制数字。例如,一个 IPv6 地址如下所示:
2001:0db8:85a3:0000:0000:8a2e:0370:7334
为了简化文本格式中 IP 地址的表示,省略了前导零,并且可以完全省略零分组。上述地址的简化格式显示为:
2001:db8:85a3:::8a2e:370:7334
MAC 地址是 Media Access Control address 的缩写。MAC 地址用于在网络物理层通信中唯一标识网络接口。MAC 地址通常嵌入到网卡中。
MAC 地址就像手机的序列号,而 IP 地址就像电话号码。
练习
我们假设您在此练习中使用的是 Windows。打开命令提示符。
输入命令
ipconfig /all
您将获得有关计算机上所有可用网络连接的详细信息。下面显示的结果是针对宽带调制解调器的 MAC 地址和 IPv4 格式以及无线网络的 IPv6 格式。
