您所在的位置： &
中间人攻击――ARP欺骗的原理、实战及防御
中间人攻击――ARP欺骗的原理、实战及防御
ARP（Address Resolution Protocol）地址转换协议，工作在OSI模型的数据链路层，在以太网中，网络设备之间互相通信是用MAC地址而不是IP地址，ARP协议就是用来把IP地址转换为MAC地址的。而RARP和ARP相反，它是反向地址转换协议，把MAC地址转换为IP地址。
1.1 什么是网关
首先来简单解释一下什么是网关，网关工作在OSI七层模型中的传输层或者应用层，用于高层协议的不同网络之间的连接，简单地说，网关就好比是一个房间通向另一个房间的一扇门。
1.2 ARP协议是什么
ARP（Address Resolution Protocol）地址转换协议，工作在OSI模型的数据链路层，在以太网中，网络设备之间互相通信是用MAC地址而不是IP地址，ARP协议就是用来把IP地址转换为MAC地址的。而RARP和ARP相反，它是反向地址转换协议，把MAC地址转换为IP地址。
假设A(192.168.1.2)与B(192.168.1.3)在同一局域网，A要和B实现通信。A首先会发送一个数据包到广播地址(192.168.1.255)，该数据包中包含了源IP（A）、源MAC、目的IP（B）、目的MAC，这个数据包会被发放给局域网中所有的主机，但是只有B主机会回复一个包含了源IP（B）、源MAC、目的IP（A）、目的MAC的数据包给A，同时A主机会将返回的这个地址保存在ARP缓存表中。
1.3 ARP欺骗原理
上面提到过了ARP缓存表，在每台主机都有一个ARP缓存表，缓存表中记录了IP地址与MAC地址的对应关系，而局域网数据传输依靠的是MAC地址。
假设主机 A 192.168.1.2,B 192.168.1.3,C 192.168.1.4; 网关 G 192.168.1.1; 在同一局域网，主机A和B通过网关G相互通信，就好比A和B两个人写信，由邮递员G送信，C永远都不会知道A和B之间说了些什么话。但是并不是想象中的那么安全，在ARP缓存表机制存在一个缺陷，就是当请求主机收到ARP应答包后，不会去验证自己是否向对方主机发送过ARP请求包，就直接把这个返回包中的IP地址与MAC地址的对应关系保存进ARP缓存表中，如果原有相同IP对应关系，原有的则会被替换。
这样C就有了偷听A和B的谈话的可能，继续思考上面的例子：
C假扮邮递员，首先要告诉A说：&我就是邮递员& （C主机向A发送构造好的返回包，源IP为G 192.168.1.1，源MAC为C自己的MAC地址），愚蠢的A很轻易的相信了，直接把&C是邮递员&这个信息记在了脑子里；
C再假扮A，告诉邮递员：&我就是A& （C向网关G发送构造好的返回包，源IP为A 192.168.1.2，源MAC地址为自己的MAC地址），智商捉急的邮递员想都没想就相信了，以后就把B的来信送给了C，C当然就可以知道A和B之间聊了些什么
上面ABCG的故事就是ARP双向欺骗的原理了
ARP单向欺骗就更好理解了，C只向A发送一个返回包，告诉A：G 192.168.1.1 的MAC地址为 5c-63-bf-79-1d-fa（一个错误的mac地址），A把这个信息记录在了缓存表中，而G的缓存表不变，也就是说，A把数据包给了C，而G的包还是给A，这样就是ARP单向欺骗了。
2.1 实战ARP欺骗
ARP欺骗又被称为ARP毒化，属于中间人攻击，我用虚拟机来模拟一下ARP欺骗的全过程
首先，看一下
ARP缓存表中默认已经存在了网关IP、MAC地址的记录
看一下目标主机的ARP缓存表
目标IP与本机IP
再进行arp欺骗之前必须要开启IP转发，否则当欺骗成功之后，目标机会断网，这样会被对方察觉
sysctl -w net.ipv4.ip_forward=1& 或者 echo 1 & /proc/sys/net/ipv4/ip_forward
已经成功开启IP转发
向目标192.168.124.133发送返回包，包含内容：
源ip：192.168.124.2
源MAC：00:0c:29:86:a1:04
此时再来看目标主机ARP缓存
可以看出目标主机arp缓存已经发生了变化，在缓存表中所记录的网关（192.168.124.2）的MAC已经变为了攻击者的MAC
以上就是一次简单的ARP欺骗了
2.2 ARP欺骗的危害
局域网之间主机通信会收到影响，如果是网关欺骗，上互联网也会受影响
黑客利用ARP欺骗可以窃取用户敏感信息、挂马等
在这里我简单演示一下ARP欺骗嗅探Telnet账户密码
3 怎样防范ARP欺骗
1.在主机绑定网关MAC与IP地址为静态（默认为动态），命令：arp -s 网关IP 网关MAC
2.在网关绑定主机MAC与IP地址
3.使用ARP防火墙【责任编辑： TEL：（010）】
关于&&&&的更多文章
【导读】目前，因为ARP而导致企业网络瘫痪的例子举不胜举，很多
随着云计算、物联网、大数据、移动互联网的大发展，你应该知道这些。
本专题从以下六个方向对2012年的重大网络安全事件进行
深信服上网行为管理支持丰富的认证模式，能根据用户身
今天的安全威胁越来越多的来自应用层的攻击，有组织的
本书由Symantec首席反病毒研究员执笔，是讲述现代病毒威胁、防御技术和分析工具的权威指南。与多数讲述计算机病毒的书籍不同，
51CTO旗下网站您所在的位置： &
图解接入层交换机防ARP攻击原理
图解接入层交换机防ARP攻击原理
交换机要防御ARP攻击，就必须能够识别并读取ARP报文内容，然后根据报文内容判断是否存在欺骗攻击行为，对于ARP欺骗报文进行丢弃处理。
交换机要防御ARP攻击，就必须能够识别并读取ARP报文内容，然后根据报文内容判断是否存在欺骗攻击行为，对于ARP欺骗报文进行丢弃处理。
在接入层就是利用接入交换机的ARP入侵检测(ARP Intrusion Inspection)功能，进行ARP欺骗攻击防御。
498)this.width=498;' onmousewheel = 'javascript:return big(this)' height=256 alt="" src="/files/uploadimg/4330.jpg" width=512>
ARP入侵检测在接入交换机进行部署，接入交换机同时启用DHCP Snooping对DHCP报文进行监测。DHCP Snooping通过监测DHCP报文记录了用户的IP/MAC/VLAN/PORT等信息，并形成一个DHCP Snooping绑定表。交换机端口接收到的ARP报文后，通过查找DHCP Snooping建立的绑定关系表，来判断ARP应答报文的发送者源IP、源MAC是否合法。若ARP报文中的发送者源MAC、IP匹配绑定表中的内容，则认为是合法的报文，允许通过;否则认为是欺骗攻击报文，就进行丢弃。
ARP入侵检测能够防止接入终端发起任何ARP欺骗攻击，如果全网部署AII功能，可有效解决ARP欺骗攻击问题。
另外由于ARP欺骗攻击，经常伴随者发送大量的ARP报文，消耗网络带宽资源和交换机CPU资源，造成网络速度的速度降低。因此接入交换机还需要部署ARP报文限速，对每个端口单位时间内接收到的ARP报文进行限制，很好地保障了网络带宽资源和交换机CPU资源。
【编辑推荐】
【责任编辑： TEL：（010）】
关于&&的更多文章
锐捷网络在合作伙伴大会上，现场展示了新推出的Newton18000核心
随着云计算、物联网、大数据、移动互联网的大发展，你应该知道这些。
讲师： 7人学习过讲师： 31人学习过讲师： 19人学习过
金秋九月，是收获的季节，同样也是IT厂商展示技术成果
华三云实验室是什么？ 这是一款华三研发工程师专业开
曾有商用wifi的客户端在从打开登陆页面到登陆成功设置
这是一个最坏的年代，J2EE Web开发技术已经迟滞多年；这是一个最好的年代，J2EE Web开发技术的新变革留给勇于创新的人！
51CTO旗下网站1、ARP协议概述
IP数据包常通过以太网发送。以太网设备并不识别32位IP地址：它们是以48位以太网地址传输以太网数据包的。因此，IP驱动器必须把IP目的地址转换成以太网网目的地址。在这两种地址之间存在着某种静态的或算法的映射，常常需要查看一张表。地址解析协议（Address Resolution Protocol，ARP）就是用来确定这些映象的协议。
ARP工作时，送出一个含有所希望的IP地址的以太网广播数据包。目的地主机，或另一个代表该主机的系统，以一个含有IP和以太网地址对的数据包作为应答。发送者将这个地址对高速缓存起来，以节约不必要的ARP通信。
如果有一个不被信任的节点对本地网络具有写访问许可权，那么也会有某种风险。这样一台机器可以发布虚假的ARP报文并将所有通信都转向它自己，然后它就可以扮演某些机器，或者顺便对数据流进行简单的修改。ARP机制常常是自动起作用的。在特别安全的网络上， ARP映射可以用固件，并且具有自动抑制协议达到防止干扰的目的。
图1 以太网上的ARP报文格式
图1是一个用作IP到以太网地址转换的ARP报文的例子。在图中每一行为32位，也就是4个八位组表示，在以后的图中，我们也将遵循这一方式。
硬件类型字段指明了发送方想知道的硬件接口类型，以太网的值为1。协议类型字段指明了发送方提供的高层协议类型，IP为0806（16进制）。硬件地址长度和协议长度指明了硬件地址和高层协议地址的长度，这样ARP报文就可以在任意硬件和任意协议的网络中使用。操作字段用来表示这个报文的目的，ARP请求为1，ARP响应为2，RARP请求为3，RARP响应为4。
当发出ARP请求时，发送方填好发送方首部和发送方IP地址，还要填写目标IP地址。当目标机器收到这个ARP广播包时，就会在响应报文中填上自己的48位主机地址。
2、ARP使用举例
我们先看一下linux下的arp命令（如果开始arp表中的内容为空的话，需要先对某台主机进行一个连接，例如ping一下目标主机来产生一个arp项）：
d2server:/home/kerberos# arp
Flags Mask
211.161.17.254
00:04:9A:AD:1C:0A
Address：主机的IP地址
Hwtype：主机的硬件类型
Hwaddress：主机的硬件地址
Flags Mask：记录标志，&C&表示arp高速缓存中的条目，&M&表示静态的arp条目。
用&arp --a&命令可以显示主机地址与IP地址的对应表，也就是机器中所保存的arp缓存信息。这个高速缓存存放了最近Internet地址到硬件地址之间的映射记录。高速缓存中每一项的生存时间一般为20分钟，起始时间从被创建时开始算起。
d2server:/home/kerberos# arp -a
(211.161.17.254) at 00:04:9A:AD:1C:0A [ether] on eth0
可以看到在缓存中有一条211.161.17.254相对应的arp缓存条目。
d2server:/home/kerberos# telnet 211.161.17.21
Trying 211.161.17.21...
Connected to 211.161.17.21.
Escape character is '^]'.
telnet&quit
connetion closed.
在执行上面一条telnet命令的同时，用tcpdump进行监听：
d2server:/home/kerberos# tcpdump -e dst host 211.161.17.21
tcpdump: listening on eth0
我们将会听到很多包，我们取与我们arp协议相关的2个包：
0.0 00:D0:F8:0A:FB:83 FF:FF:FF:FF:FF:FF
who has 211.161.17.21 tell d2server
0..:3C:43:0D:24 00:D0:F8:0A:FB:83
arp reply 211.161.17.21 is at 00:E0:3C:43:0D:24
在第1行中，源端主机（d2server）的硬件地址是00:D0:F8:0A:FB:83。目的端主机的硬件地址是FF:FF:FF:FF:FF:FF，这是一个以太网广播地址。电缆上的每个以太网接口都要接收这个数据帧并对它进行处理。
第1行中紧接着的一个输出字段是arp，表明帧类型字段的值是0x0806，说明此数据帧是一个ARP请求或回答。
在每行中，单词后面的值60指的是以太网数据帧的长度。由于ARP请求或回答的数据帧长都是42字节（28字节的ARP数据，14字节的以太网帧头），因此，每一帧都必须加入填充字符以达到以太网的最小长度要求：60字节。
第1行中的下一个输出字段arp who-has表示作为ARP请求的这个数据帧中，目的I P地址是211.161.17.21的地址，发送端的I P地址是d2server的地址。tcpdump打印出主机名对应的默认I P地址。
从第2行中可以看到，尽管ARP请求是广播的，但是ARP应答的目的地址却是211.161.17.21（00:E0:3C:43:0D:24）。ARP应答是直接送到请求端主机的，而是广播的。tcpdump打印出arp reply的字样，同时打印出响应者的主机ip和硬件地址。
在每一行中，行号后面的数字表示tcpdump收到分组的时间（以秒为单位）。除第1行外，每行在括号中还包含了与上一行的时间差异（以秒为单位）。
编辑：Loading
猜你喜欢：
最新图文资讯
站长之家专栏推荐
增值电信业务经营许可证: 闽B2-号 - 北京公安局网监中心备案号: 95号 -
(C)CopyRight 2002- Inc All Rights Reserved. 站长之家 版权所有ARP原理是什么及ARP攻击的过程解析
　　首先说一下什么是ARP。如果你在UNIX Shell下输入 arp -a (9x下也是)，你的输出看起来应该是这样的： 　　Interface: xxx.xxx.xxx.xxx 　　Internet Address Physical Address Type 　　xxx.xxx.xxx.xxx 00-00-93-64-48-d2 dynamic 　　xxx.xxx.xxx.xxx 00-00-b4-52-43-10 dynamic 　　...... ......... ....
　　这里第一列显示的是ip地址，第二列显示的是和ip地址对应的网络接口卡的硬件地址(MAC)，第三列是该ip和mac的对应关系类型。
　　可见，arp是一种将ip转化成以ip对应的网卡的物理地址的一种协议，或者说ARP协议是一种将ip地址转化成MAC地址的一种协议。它靠维持在内存中保存的一张表来使ip得以在网络上被目标机器应答。
　　为什么要将ip转化成mac呢？简单的说，这是因为在tcp网络环境下，一个ip包走到哪里，要怎么走是靠路由表定义。但是，当ip包到达该网络后，哪台机器响应这个ip包却是靠该ip包中所包含的mac地址来识别。也就是说，只有机器的mac地址和该ip包中的mac地址相同的机器才会应答这个ip包。因为在网络中，每一台主机都会有发送ip包的时候。所以，在每台主机的内存中，都有一个 arp--& mac 的转换表。通常是动态的转换表(注意在路由中，该arp表可以被设置成静态)。也就是说，该对应表会被主机在需要的时候刷新。这是由于以太网在子网层上的传输是靠48位的mac地址而决定的。
　　通常主机在发送一个ip包之前，它要到该转换表中寻找和ip包对应的mac地址。如果没有找到，该主机就发送一个ARP广播包，看起来象这样子：
　　"我是主机xxx.xxx.xxx.xxx , mac是xxxxxxxxxxx ,ip为xxx.xxx.xxx.xx1的主机请告之你的mac来" 　　ip为xxx.xxx.xxx.xx1的主机响应这个广播，应答ARP广播为： 　　"我是xxx.xxx.xxx.xx1,我的mac为xxxxxxxxxx2" 　　于是，主机刷新自己的ARP缓存，然后发出该ip包。 　　了解这些常识后，现在就可以谈在网络中如何实现ARP欺骗了，可以看看这样一个例子：
　　一个入侵者想非法进入某台主机，他知道这台主机的防火墙只对192.0.0.3(假设)这个ip开放23口(telnet),而他必须要使用telnet来进入这台主机，所以他要这么做：
　　1、他先研究192.0.0.3这台主机，发现这台95的机器使用一个oob就可以让他死掉。 　　2、于是，他送一个洪水包给192.0.0.3的139口，于是，该机器应包而死。 　　3、这时，主机发到192.0.0.3的ip包将无法被机器应答，系统开始更新自己的arp对应表。将192.0.0.3的项目搽去。 　　4、这段时间里，入侵者把自己的ip改成192.0.0.3 　　5、他发一个ping(icmp 0)给主机，要求主机更新主机的arp转换表。 　　6、主机找到该ip，然后在arp表中加入新的ip--&mac对应关系。 　　7、防火墙失效了，入侵的ip变成合法的mac地址，可以telnet了。
　　特别声明：本站注明稿件来源为其他媒体的文/图等稿件均为转载稿，本站转载出于非商业性的教育和科研之目的，并不意味着赞同其观点或证实其内容的真实性。如转载稿涉及版权等问题，请作者在两周内速来电或来函联系。
开学季：网络安全“第一课”，顶级名师联袂开讲，所有课程免费观看！...
网安国际学术论坛于日至18日在北京举办“网络空间安全大学生夏令营”活动...
近日，中共中央办公厅、国务院办公厅印发《国家信息化发展战略纲要》...【转帖】【求精】ARP攻击原理及防范
从论坛获得的筹码：
注册时间：
贡献42, 距离下一级还需8贡献
注册时间：
自动加载图片
楼主 电梯直达 楼
在局域网中如果时常上不了网，但是网络的连接正常，而局域网的网络情况却时好时坏，那么这很可能就是ARP欺骗已经发作的征兆。ARP的内容和原理：ARP的全称是：Address&Resolution&Protocol，也就是地址解析协议。顾名思义，其主要作用就是“地址解析”，即通过目标设备的IP地址，查询目标地址的MAC地址。在局域网中，如果要在两台主机之间进行通信，就必须要知道目标主机的IP地址，但是起到传输数据的物理设备网卡并不能直接识别IP地址，只能识别其硬件地址MAC地址，MAC地址是一个全球唯一的序列号并由12个16进制数构成。主机之间的通信，一般都是网卡之间的通信，而网卡之间的通信都是根据对方的MAC地址来进行工作的，而ARP协议就是一个将数据包中的IP地址转换为MAC地址的网络协议。ARP在局域网中的作用：而在规模越来越庞大的局域网中，存在上百台主机已经很普及，如何在这么多的主机的MAC地址中，快速又准确的记住每个网卡对应的IP地址和MAC地址的对应关系，这就要依靠一个存在于所有主机中的ARP缓存表来进行记录。例如局域网中有A、B两台主机并通过交换机相连接，当A需要给B所在的IP地址发送数据时，A就要先查找自己的ARP缓存表，看其中是否存在这个IP的MAC地址，如果有就直接发送。如果没有，那么A就要向整个局域网发送广播要求使用这个IP地址的主机进行响应，B收到广播后会向A返回一个响应信息，说明自己的MAC和A所要发送的IP地址是对应关系，而A收到B所返回的信息后会将这个IP和MAC进行记录，以后如果要再发送信息，则可以从ARP缓存表中直接查找并发送。ARP病毒的危害：ARP缓存表记录了所有和和其宿主主机进行通讯过的其他电脑的MAC-IP对应关系，而漏洞也恰恰在此。如果局域网中的一台电脑进行欺骗性地使用自己的IP地址来冒充其他主机的MAC地址。比如：在B和C的通讯时，这时出现一台A机器，它告诉B说它就是C，结果B机器就认为它是C了，并且在B的缓存中，原先C的IP地址被对应到了A的MAC上。于是，本来要从B发送到C的消息就被发送到A机器上了，A机器实际上就发起了一次ARP欺骗。ARP病毒就是利用上述原理来对整个局域网来进行破坏，其中除了使其他电脑上不了网之外，还可以利用自身“帮”网关转发信息的特权给数据包添加病毒代码。比如，用户打开一个本来正常的网页，但是由于ARP病毒的存在，这个原本正常的网页会带上若干恶意连接，使用户感染上病毒。ARP防护软件点评：伴随ARP欺骗的隐蔽性和广泛性，目前出现了多种可以防止ARP欺骗的软件，它们的工作原理一般有两种：第一种是拦截ARP的攻击或者是IP冲突，保障系统不会受ARP攻击的影响；第二种是防止恶意攻击程序篡改本机的ARP缓存表。第一种方法可以通过广播指定IP地址正确的MAC地址，它能够立即解决ARP攻击引起的挂马、掉线等问题，但同时也会给网络带来一定的负载。第二种方法较为简单，不会对网路有什么影响，但防护效果较差。目前比较流行的ARP防护类软件有：AntiARP防火墙、瑞星个人防火墙ARP防火墙等，它们的工作原理无外乎上述两种。1、 AntiARPAntiARP是目前使用比较广泛的ARP防护类软件，其默认的选项就可以有效防范一般的ARP欺骗攻击。在使用的时候应该特别注意一个问题：在AntiARP的“配置”中的“主动防御和跟踪”中进行设置时，如果勾选“主动防御”下“始终启用”可能会造成对整个局域网带来一定的负载，并且随“防御速度”的大小表现更为明显。强烈建议校园网用户不要开启此种防护。2、 瑞星个人防火墙2008瑞星个人防火墙2008是刚刚推出的，目前是免费的。值得一提的是，这个版本的防火墙也加入了ARP欺骗防护的功能。它同时采用了两种方法进行防护，效果较好。不过由于它也会通过广播的方式获取IP的正确MAC地址，所以也会提高网络的负荷，这一点使用时应注意通过设置避免。默认情况下，ARP欺骗功能是没有开启的，需要自己在详细设置里把它打开。特别注意的是，和AntiARP一样，对于校园网用户强烈建议将防护范围设置为“指定的计算机”而不是“所有计算机”。由于ARP欺骗的原理，实际上在防护时只要把网关防护起来就足够了。另外，如果本机的IP地址是固定的，比如校园网，可以直接选择“拒绝IP地址冲突攻击”。3、 360ARP防火墙奇虎也推出了自身的ARP防护软件：ARP防火墙。不过对于这个“防火墙”来说，它的主要功能主要是对主机的ARP缓存表进行保护，在实际使用过程中发现360防火墙并不能有效阻挡甚至发现ARP攻击，不知道是不是产品BUG。&&&&目前，在网上可以找到不少ARP类防护软件，但基本原理都相同，用户可以根据需要选择适合自己网络环境的ARP防火墙。　　
回帖后跳转到最后一页
您需要登录后才可以发帖&&