ARP攻擊,是指攻擊者利用地址解析協(xié)議本身的運(yùn)行機(jī)制而發(fā)動(dòng)的攻擊行為����。包括進(jìn)行對(duì)主機(jī)發(fā)動(dòng)IP沖突攻擊、數(shù)據(jù)包轟炸����,切斷局域網(wǎng)上任何一臺(tái)主機(jī)的網(wǎng)絡(luò)連接等。主要有以盜取數(shù)據(jù)為主要目的的ARP欺騙攻擊����,還有以搗亂破壞為目的的ARP泛洪攻擊兩種����。
IP地址沖突
制造出局域網(wǎng)上有另一臺(tái)主機(jī)與受害主機(jī)共享一個(gè)IP的假象����。由于違反了唯一性要求,受害主機(jī)會(huì)自動(dòng)向用戶彈出警告對(duì)話框����。大量的攻擊數(shù)據(jù)包能令受害主機(jī)耗費(fèi)大量的系統(tǒng)資源。對(duì)于windows操作系統(tǒng)����,只要接收到一個(gè)ARP數(shù)據(jù)包,不管該ARP數(shù)據(jù)包符不符合要求����,只要該ARP數(shù)據(jù)包所記錄的源ip地址同本地主機(jī)相同但MAC地址不同����,windows系統(tǒng)就會(huì)彈出ip地址沖突的警告對(duì)話框。根據(jù)ip地址沖突的攻擊特征描述����,這種類型的ARP攻擊主要有以下幾種:
����。1)單播型的IP地址沖突:鏈路層所記錄的目的物理地址為被攻擊主機(jī)的物理地址����,這樣使得該ARP數(shù)據(jù)包只能被受攻擊主機(jī)所接收而不被局域網(wǎng)內(nèi)的其它主機(jī)所接收實(shí)現(xiàn)隱蔽式攻擊。
����。2)廣播型的IP地址沖突:鏈路層所記錄的目的物理地址為廣播地址,這樣使得局域網(wǎng)內(nèi)的所有主機(jī)都會(huì)接受到該ARP數(shù)據(jù)包����,雖然該ARP數(shù)據(jù)包所記錄的目的ip地址不是受攻擊主機(jī)的ip地址,但是由于該ARP數(shù)據(jù)包為廣播數(shù)據(jù)包����,這樣受攻擊主機(jī)也會(huì)接收到從而彈出ip地址沖突的警告對(duì)話框。
IP地址相同但MAC地址不同的數(shù)據(jù)包
ARP泛洪攻擊
攻擊主機(jī)持續(xù)把偽造的MAC-IP映射對(duì)發(fā)給受害主機(jī)����,對(duì)于局域網(wǎng)內(nèi)的所有主機(jī)和網(wǎng)關(guān)進(jìn)行廣播,搶占網(wǎng)絡(luò)帶寬和干擾正常通信����。這種攻擊方式的主要攻擊特征包含:
����。1)通過(guò)不斷發(fā)送偽造的ARP廣播數(shù)據(jù)報(bào)使得交換機(jī)拼于處理廣播數(shù)據(jù)報(bào)耗盡網(wǎng)絡(luò)帶寬����。
(2)令局域網(wǎng)內(nèi)部的主機(jī)或網(wǎng)關(guān)找不到正確的通信對(duì)象����,使得正常通信被阻斷。
����。3)用虛假的地址信息占滿主機(jī)的ARP高速緩存空間,造成主機(jī)無(wú)法創(chuàng)建緩存表項(xiàng)����,無(wú)法正常通信,這種攻擊特征作者將其命名為ARP溢出攻擊����。ARP泛洪攻擊不是以盜取用戶數(shù)據(jù)為目的����,它是以破壞網(wǎng)絡(luò)為目的����,屬于損人不利己的行為����。
ARP溢出攻擊
ARP溢出攻擊的特征主要有:
(1)所發(fā)送的偽造MAC-IP映射對(duì)的ip地址是非本地網(wǎng)的虛擬不存在的ip地址但MAC地址是固定的����,由于當(dāng)操作系統(tǒng)接收到一個(gè)源ip地址在ARP高速緩存表中不存在的ARP數(shù)據(jù)包時(shí),就會(huì)在緩存表中創(chuàng)建一個(gè)對(duì)應(yīng)MAC-IP的入口項(xiàng)����。
(2)所發(fā)送的偽造MAC-IP映射對(duì)的ip地址是非本地網(wǎng)的虛擬不存在的ip地址而且MAC地址也是虛擬變化的����。發(fā)送這種類型的攻擊數(shù)據(jù)包會(huì)引起交換機(jī)的CAM表溢出。由于交換機(jī)是通過(guò)學(xué)習(xí)進(jìn)入各端口數(shù)據(jù)幀的源MAC地址來(lái)構(gòu)建CAM表����,將各端口和端口所連接主機(jī)的MAC地址的對(duì)應(yīng)關(guān)系進(jìn)行記錄,因而可根據(jù)CAM表來(lái)決定數(shù)據(jù)幀發(fā)往哪個(gè)端口����。如果攻擊源持續(xù)向交換機(jī)發(fā)送大量有錯(cuò)誤的MAC地址ARP數(shù)據(jù)包����,就會(huì)破壞端口與MAC的對(duì)應(yīng)關(guān)系����,并導(dǎo)致CAM表溢出。在這種情形之下����,缺少防范措施的交換機(jī)就會(huì)以廣播的模式處理報(bào)文,形成泛洪向所有接口轉(zhuǎn)發(fā)通信信息流����。最終使得交換機(jī)變成HUB,將交換式的網(wǎng)絡(luò)變成廣播式的網(wǎng)絡(luò)����,使得網(wǎng)絡(luò)帶寬急劇下降。
ARP欺騙原理
假如主機(jī)A要與目的主機(jī)B進(jìn)行通信����,為了查找與目的主機(jī)IP地址相對(duì)應(yīng)的MAC地址,主機(jī)A使用ARP協(xié)議來(lái)查找目的主機(jī)B的MAC地址����。首先,源主機(jī)A會(huì)以廣播的形式發(fā)送一個(gè)ARP請(qǐng)求數(shù)據(jù)包給以太網(wǎng)上的每一臺(tái)主機(jī)����,這個(gè)過(guò)程稱為ARP廣播。而在接收到ARP廣播的所有計(jì)算機(jī)中����,只有具有目的主機(jī)IP地址的主機(jī)B收到該廣播報(bào)文后,才會(huì)向源主機(jī)A回送一個(gè)包含其MAC地址的應(yīng)答����,這樣一次正常的地址解析過(guò)程就完成了。為了盡量減少網(wǎng)絡(luò)中ARP廣播請(qǐng)求的次數(shù)����,每臺(tái)主機(jī)都擁有一個(gè)ARP緩存,這個(gè)緩存存放了自主機(jī)啟動(dòng)以來(lái)所有的IP地址與MAC地址之間的映射記錄����。主機(jī)每隔一定時(shí)間或者每當(dāng)收到ARP應(yīng)答,都會(huì)用新的地址映射記錄對(duì)ARP緩存進(jìn)行更新����,以保證自己擁有最新的地址解析緩存。
使用ARP -A命令查看PC上的ARP緩存表
利用ARP協(xié)議的緩存更新不需要驗(yàn)證的特點(diǎn),就可以冒用一個(gè)合法IP����,對(duì)同網(wǎng)絡(luò)的數(shù)據(jù)進(jìn)行嗅探,而這正是ARP欺騙病毒所采用的手段����。假設(shè)有3臺(tái)主機(jī)分別為A、B����、C,其中主機(jī)C已經(jīng)感染了ARP地址欺騙病毒����。正常情況下,主機(jī)A與主機(jī)B通信對(duì)于主機(jī)C是不可見(jiàn)的����,但是,主機(jī)C利用ARP欺騙技術(shù)����,實(shí)現(xiàn)了交換網(wǎng)絡(luò)下的嗅探。其主要步驟如下:
����。1)主機(jī)C向主機(jī)A發(fā)送一個(gè)非法ARP響應(yīng)����,將主機(jī)A的ARP緩存中B的MAC地址篡改為C的MAC地址����。
����。2)主機(jī)C向主機(jī)B發(fā)送一個(gè)非法ARP響應(yīng),將主機(jī)B的ARP緩存中A的MAC地址篡改為C的MAC地址
����。3)在主機(jī)C上啟動(dòng)IP Forward(IP轉(zhuǎn)發(fā))功能。
于是����,主機(jī)A與主機(jī)B之間的通道由主機(jī)A到主機(jī)B變成主機(jī)A到主機(jī)C再到主機(jī)B,主機(jī)C作為"中介"����,轉(zhuǎn)發(fā)主機(jī)A與主機(jī)B通信產(chǎn)生的所有數(shù)據(jù)包。這樣����,在光天化日之下����,主機(jī)C竟然劫持了所有主機(jī)A和主機(jī)B之間通信的數(shù)據(jù)����,這就是ARP地址欺騙的過(guò)程。
另一個(gè)情況����,假設(shè)一個(gè)網(wǎng)絡(luò)中的兩臺(tái)主機(jī),A與B����,當(dāng)主機(jī)B冒充網(wǎng)關(guān)的情形下,由于局域網(wǎng)中的電腦連接外網(wǎng)時(shí)����,也就是登錄互聯(lián)網(wǎng)的時(shí)候,都要經(jīng)過(guò)局域網(wǎng)中的網(wǎng)關(guān)轉(zhuǎn)發(fā)一下����,所有收發(fā)的數(shù)據(jù)都要先經(jīng)過(guò)網(wǎng)關(guān),再由網(wǎng)關(guān)發(fā)向互聯(lián)網(wǎng)����。這也就意味著電腦B能截獲并篡改所有局域網(wǎng)到互聯(lián)網(wǎng)����、互聯(lián)網(wǎng)到局域網(wǎng)的數(shù)據(jù)����。
ARP欺騙種類
(1)拒絕服務(wù)攻擊:拒絕服務(wù)攻擊就是使目標(biāo)主機(jī)不能響應(yīng)外界請(qǐng)求����,從而不能對(duì)外提供服務(wù)的攻擊方法����。如果攻擊者將目標(biāo)主機(jī)ARP緩存中的MAC地址全部改為根本就不存在的地址,那么目標(biāo)主機(jī)向外發(fā)送的所有以太網(wǎng)數(shù)據(jù)幀會(huì)丟失����,使得上層應(yīng)用忙于處理這種異常而無(wú)法響應(yīng)外來(lái)請(qǐng)求,也就導(dǎo)致目標(biāo)主機(jī)產(chǎn)生拒絕服務(wù)����。
(2)中間人攻擊:中間人攻擊就是攻擊者將自己的主機(jī)插入兩個(gè)目標(biāo)主機(jī)通信路徑之間����,使他的主機(jī)如同兩個(gè)目標(biāo)主機(jī)通信路徑上的一個(gè)中繼����,這樣攻擊者就可以監(jiān)聽(tīng)兩個(gè)目標(biāo)主機(jī)之間的通信����。例如局域網(wǎng)內(nèi)的三臺(tái)機(jī)子A、S����、D,現(xiàn)在A要監(jiān)聽(tīng)S與D之間的通信����。攻擊過(guò)程如下:A侵染目標(biāo)主機(jī)S與D的ARP緩存,使得S向D發(fā)送數(shù)據(jù)時(shí)����,使用的是D的IP地址與A的MAC地址,并且D向S發(fā)送數(shù)據(jù)時(shí)����,使用的是S的IP地址與A的MAC地址,因此所有S與D之間的數(shù)據(jù)都將經(jīng)過(guò)A����,再由A轉(zhuǎn)發(fā)給他們����。
如果攻擊者對(duì)一個(gè)目標(biāo)主機(jī)與它所在局域網(wǎng)的路由器實(shí)施中間人攻擊����,那么攻擊者就可以截取Internet與這個(gè)目標(biāo)主機(jī)的之間的全部通信。
����。3)多主機(jī)欺騙:篡改被攻擊主機(jī)群中關(guān)于網(wǎng)絡(luò)內(nèi)某一臺(tái)主機(jī)X的ARP記錄,被攻擊的主機(jī)群為網(wǎng)絡(luò)中的多臺(tái)主機(jī)而非一臺(tái)主機(jī)����。主機(jī)X為網(wǎng)關(guān)或網(wǎng)絡(luò)內(nèi)任何一臺(tái)非網(wǎng)關(guān)的正在運(yùn)行主機(jī)����。被篡改后的MAC地址可以為網(wǎng)絡(luò)內(nèi)正在運(yùn)行的主機(jī)MAC地址或隨機(jī)偽造的不存在主機(jī)的MAC地址。
T時(shí)刻����,主機(jī)A關(guān)于主機(jī)X的ARP記錄被篡改;
T+N時(shí)刻����,主機(jī)B關(guān)于主機(jī)X的ARP記錄被篡改����;
………
T+M時(shí)刻����,主機(jī)Z關(guān)于主機(jī)X的ARP記錄被篡改;
例如當(dāng)攻擊主機(jī)要仿冒網(wǎng)關(guān)就會(huì)向局域網(wǎng)內(nèi)的主機(jī)群發(fā)送ARP數(shù)據(jù)包����,以自身MAC地址來(lái)冒充真正的網(wǎng)關(guān),使受騙主機(jī)群的ARP緩沖區(qū)的MAC地址錯(cuò)誤地更新為攻擊源的MAC地址����,導(dǎo)致受騙主機(jī)群向假網(wǎng)關(guān)發(fā)送通信信息,而不是通過(guò)路由器或交換途徑尋找真正的網(wǎng)關(guān)并發(fā)送通信信息����。這時(shí)攻擊主機(jī)可以把自己設(shè)置成一臺(tái)路由器負(fù)責(zé)對(duì)數(shù)據(jù)包轉(zhuǎn)發(fā),從而達(dá)到仿冒網(wǎng)關(guān)的目的����。這是一種比較常見(jiàn)的欺騙形式,這種欺騙方式可以控制同一網(wǎng)關(guān)下的所有主機(jī)對(duì)網(wǎng)絡(luò)的訪問(wèn)����。網(wǎng)吧內(nèi)經(jīng)常發(fā)生游戲密碼被盜現(xiàn)象就是因?yàn)樵馐艿椒旅熬W(wǎng)關(guān)的ARP攻擊����。
(4)全子網(wǎng)輪詢欺騙:篡改被攻擊主機(jī)X中關(guān)于網(wǎng)絡(luò)內(nèi)多臺(tái)主機(jī)的ARP記錄����,這臺(tái)被攻擊的主機(jī)為網(wǎng)關(guān)或網(wǎng)絡(luò)內(nèi)任何一臺(tái)非網(wǎng)關(guān)的主機(jī),被篡改后的MAC地址可以為網(wǎng)絡(luò)內(nèi)正在運(yùn)行的主機(jī)MAC地址或隨機(jī)偽造的不存在主機(jī)的MAC地址����。
T時(shí)刻,主機(jī)X關(guān)于主機(jī)A的ARP記錄被篡改����;
T+N時(shí)刻,主機(jī)X關(guān)于主機(jī)B的ARP記錄被篡改����;
………
T+M時(shí)刻����,主機(jī)X關(guān)于主機(jī)Z的ARP記錄被篡改;
����。5)網(wǎng)絡(luò)監(jiān)聽(tīng):攻擊主機(jī)利用上述多主機(jī)欺騙來(lái)仿冒網(wǎng)關(guān)����,利用全子網(wǎng)輪詢欺騙來(lái)篡改真正網(wǎng)關(guān)上關(guān)于局域網(wǎng)內(nèi)所有主機(jī)的ARP緩存記錄����,從而實(shí)現(xiàn)對(duì)局域網(wǎng)內(nèi)所有主機(jī)同外部網(wǎng)的通信進(jìn)行監(jiān)聽(tīng)。實(shí)現(xiàn)了在交換式網(wǎng)絡(luò)環(huán)境中對(duì)網(wǎng)絡(luò)通信的監(jiān)聽(tīng)����。
ARP掃描攻擊
向局域網(wǎng)內(nèi)的所有主機(jī)發(fā)送ARP請(qǐng)求,從而獲得正在運(yùn)行主機(jī)的ip和mac地址映射對(duì)����。ARP掃描往往是為發(fā)動(dòng)ARP攻擊做準(zhǔn)備。攻擊源通過(guò)ARP掃描來(lái)獲得所要攻擊主機(jī)的ip和mac地址����。從而為網(wǎng)絡(luò)監(jiān)聽(tīng)、盜取用戶數(shù)據(jù)����,實(shí)現(xiàn)隱蔽式攻擊做準(zhǔn)備。
虛擬主機(jī)攻擊
通過(guò)在網(wǎng)絡(luò)內(nèi)虛擬構(gòu)建網(wǎng)卡,將自己虛擬成網(wǎng)絡(luò)內(nèi)的一臺(tái)主機(jī)����,擁有虛擬的物理地址和ip地址。主要是通過(guò)在鏈路層捕獲所有流經(jīng)的ARP請(qǐng)求數(shù)據(jù)包進(jìn)行分析����,若是對(duì)虛擬主機(jī)的ARP請(qǐng)求就會(huì)發(fā)送對(duì)應(yīng)虛擬物理地址的ARP響應(yīng),并且虛擬主機(jī)本身也會(huì)發(fā)送ARP請(qǐng)求����。虛擬主機(jī)攻擊會(huì)占用局域網(wǎng)內(nèi)的IP地址資源,使得正常運(yùn)行的主機(jī)發(fā)生ip地址沖突����,并且局域網(wǎng)內(nèi)的主機(jī)也無(wú)法正常獲得ip
關(guān)鍵詞標(biāo)簽:方式,攻擊,局域網(wǎng),主機(jī)
提示dns服務(wù)錯(cuò)誤怎么辦 dns錯(cuò)誤問(wèn)題多種解決
IS-IS同時(shí)下發(fā)缺省路由出現(xiàn)路由環(huán)路問(wèn)題的解
IBGP鄰居無(wú)法建立連接問(wèn)題的解決方法
對(duì)稱結(jié)構(gòu)承載網(wǎng)流量出現(xiàn)異常問(wèn)題的故障解決