ARP(地址解析协议)是Address Resolution Protocol的缩写。其基本功能就是在主机发送数据之前将目标IP转换为MAC地址,完成网络地址到物理地理地址的映射,以保证两台主机能够正常通信。任何一台主机安装了TCP/IP协议都会存在ARP缓存表,该表保存了局域网中各个主机对应的MAC地址。
ARP欺骗的特征就是本机网关对应的地址信息被欺骗,原来正确的地址被非法篡改,篡改者自己充当网关来达到ARP欺骗的目的。在有问题计算机上查询ARP缓存表会发现网关IP地址对应的MAC地址和正常的不一样,正确的MAC地址被篡改。
一般来说,ARP欺骗并不是使网络无法正常通信,而是通过冒充网关或其他主机使得到达网关或者主机的流量通过攻击进行转发。通过转发流量可以对流量进行控制和查看,从而控制流量或者得到重要信息。
找到ARP欺骗主机:
1.我们可以利用ARPkiller的Sniffer杀手扫描整个局域网IP段,然后查找处在混杂模式下的计算机,就可以发现对方了,检测完成后,如果相应的IP是绿帽子图标,说明这个IP处于正常模式,如果是红帽子则说明该网卡处于混杂模式。
2.使用tracert命令在任意一台受影响的主机上,在DOS命令窗口下运行如下命令:tracert 61.135.179.148。假定设置的缺省网关为10.8.6.1,在跟踪一个外网地址时,第一跳却是10.8.6.186,那么,10.8.6.186就是病毒源。原理:中毒主机在受影响主机和网关之间,扮演了中间人的角色。所有本应该到达网关的数据包,由于错误的MAC地址,均被发到了中毒主机。此时,中毒主机越俎代庖,起了缺省网关的作用。
处理ARP欺骗攻击的方法有两种。
一、最长用的办法就是IP地址和MAC地址绑定,可以在主机和网关路由器上双向绑定来避免ARP欺骗攻击。
在主机上绑定网关路由器的IP和MAC地址,可以通过“arp -s”命令实现。
二、使用ARP防火墙,自动抵御ARP欺骗和ARP攻击。
常用的突破ARP防火墙的技术:
不停地发包到网关(每秒几十次),对网关说我是真的机器,避免其他机器冒充本机。(比如目标机器是A 你是B 你向网关说我是才A),由于你发的频率高,所以在很短的时间周期内,网关认为你是受害机器,这样目标主机的正常数据包就发送过来了。
部分内容来源于网络。
助教:马季