瑞星卡卡安全论坛

首页 » 技术交流区 » 入侵防御(HIPS) » ARP介绍与ARP欺骗(原创)
沉很 - 2010-7-19 17:31:00
ARP介绍与ARP欺骗

fooying(H.U.C)
个人blog:http://hi.baidu.com/fooying
QQ413673800
ARP介绍:
ARP(AddressResolutionProtocol),即地址解析协议.ARP用于将计算机和网路IP地址转换为MAC地址。
ARP协议基本的功能就是通过目标设备的IP地址查询目标设备的MAC地址,来达到保证通信顺利进行。
每台电脑有安装TCP/IP协议的电脑都有个ARP缓存表,表里的IP地址与MAC地址是一一对应的。
样式如
IP地址        MAC地址
192.68.7.0 00-aa-02-62-c6-08
一般原理如
主机A发出通话:IP为192.68.7.0的主机报上MAC。
IP为192.68.7.0的主机就回应答ARP广播为:
“我是192.68.7.0,MAC地址为00-aa-02-62-c6-08".于是主机A就更新自己的ARP缓存表,确定IP为
192.68.7.0的主机MAC地址,然后向此IP计算机发送网络数据。

ARP欺骗
如果系统中ARP缓存表被修改,不断通知路由器一系列错误的内网IP,或者直接伪造个假的网关进行欺骗,网络就会出现大面积的掉线。下面我举个例子。
如一个入侵者要进入公司服务器,但是服务器只面对IP为192.68.1.7的主机开放23端口(telent端口),他无法入侵,他就可以采用ARP欺骗。下面是相应过程。
1、一般在可以情况下,他首先发送个洪水包使IP为192.68.1.7的主机死机;
2、这是如果主机发到192.68.1.7的IP无法被应答,主机就会从ARP缓存表中抹去对应192.68.1.7的地址;
3、同时,入侵着将自己的主机IP伪造为192.68.1.7,发送PING给主机,要求更新主机ARP缓存表。
4、主机找到IP,更新ARP缓存表;
这样一个过程后,火墙就失效了,攻击者IP变成合法的MAC地址,这样就可以顺利入侵。

以上讲的使ARP的相关知识,还介绍了ARP欺骗攻击的过程,希望大家能理解,希望有助大家掌握相应知识。




用户系统信息:Mozilla/4.0 (compatible; MSIE 6.0; Windows NT 5.1; SV1)
木马bbbb - 2010-7-19 17:58:00
帮顶。
荔枝饭饭 - 2010-7-19 20:22:00
帮顶!顺便补充常见解决ARP供给方法简单说明(三种)
    1、 利用ARP echo传送正确的ARP对照表,达到防御目的;
    2、 进行MAC与IP地址的绑定,生成固定的ARP对照表,保证映射关系的正确;
    3、 采用其他协议(如:PPPoE)传送地址信息。
以上三种方法中,第二种方法最为方便和有效。主要原因如下:使用ARP echo方式,需要配置一台负责发送ARP echo广播的设备,当ARP攻击非常频繁时,该设备的负担将很大,因此ARP echo将无法达到理想的效果。而局域网主机众多的网络,想要实施第三种方法,其工作量也是相当庞大的。因此,上述三种方法中,以第二种方法最为实用。
lyz19891122 - 2010-7-27 22:24:00
学习了。。。:kaka2:
至尊灬少将 - 2010-8-17 0:44:00
不知道怎么绑定啊?对于我们这些一般人来说不需要做这些把?
刘域 - 2010-9-13 20:58:00
arp -a 查看本地ip/mac 绑定情况
arp -s 157.55.85.212  00-aa-00-62-c6-09 (ip/mac绑定格式/**cmd下输入即可**/)

如果你是直接宽带上网的话,可不用绑定!
但如果你是校园网(内网)..最好绑定
不然到时你同学中了arp木马你也会跟着遭殃!
1
查看完整版本: ARP介绍与ARP欺骗(原创)