微点交流论坛

标题: 什么是ARP欺骗啊 [打印本页]

作者: manutdr08 时间: 2007-8-19 10:05 标题: 什么是ARP欺骗啊

偶是菜鸟:(

作者: qq2008444 时间: 2007-8-19 10:14
　什么是ARP？如何防范ARP欺骗技术?　

　　首先说一下什么是ARP。如果你在UNIX Shell下输入 arp -a (9x下也是），你的输出看起来应该是这样的：

　　Interface: xxx.xxx.xxx.xxx

　　Internet Address Physical Address Type

xxx.xxx.xxx.xxx 00-00-93-64-48-d2 dynamic

　　xxx.xxx.xxx.xxx 00-00-b4-52-43-10 dynamic

　　...... ......... ....

这里第一列显示的是ip地址，第二列显示的是和ip地址对应的网络接口卡的硬件地址（MAC），第三列是该ip和mac的对应关系类型。

可见，arp是一种将ip转化成以ip对应的网卡的物理地址的一种协议，或者说ARP协议是一种将ip地址转化成MAC地址的一种协议。它靠维持在内存中保存的一张表来使ip得以在网络上被目标机器应答。

为什么要将ip转化成mac呢？简单的说，这是因为在tcp网络环境下，一个ip包走到哪里，要怎么走是靠路由表定义。但是，当ip包到达该网络后，哪台机器响应这个ip包却是靠该ip包中所包含的mac地址来识别。也就是说，只有机器的mac地址和该ip包中的mac地址相同的机器才会应答这个ip包。因为在网络中，每一台主机都会有发送ip包的时候。所以，在每台主机的内存中，都有一个 arp--> mac 的转换表。通常是动态的转换表（注意在路由中，该arp表可以被设置成静态）。也就是说，该对应表会被主机在需要的时候刷新。这是由于以太网在子网层上的传输是靠48位的mac地址而决定的。

通常主机在发送一个ip包之前，它要到该转换表中寻找和ip包对应的mac地址。如果没有找到，该主机就发送一个ARP广播包，看起来象这样子：

　　"我是主机xxx.xxx.xxx.xxx , mac是xxxxxxxxxxx ,ip为xxx.xxx.xxx.xx1的主机请告之你的mac来"

　　ip为xxx.xxx.xxx.xx1的主机响应这个广播，应答ARP广播为：

　　"我是xxx.xxx.xxx.xx1,我的mac为xxxxxxxxxx2"

于是，主机刷新自己的ARP缓存，然后发出该ip包。

了解这些常识后，现在就可以谈在网络中如何实现ARP欺骗了，可以看看这样一个例子：

一个入侵者想非法进入某台主机，他知道这台主机的防火墙只对192.0.0.3(假设)这个ip开放23口(telnet),而他必须要使用telnet来进入这台主机，所以他要这么做：

1、他先研究192.0.0.3这台主机，发现这台95的机器使用一个oob就可以让他死掉。

2、于是，他送一个洪水包给192.0.0.3的139口，于是，该机器应包而死。

3、这时，主机发到192.0.0.3的ip包将无法被机器应答，系统开始更新自己的arp对应表。将192.0.0.3的项目搽去。

4、这段时间里，入侵者把自己的ip改成192.0.0.3

5、他发一个ping(icmp 0)给主机，要求主机更新主机的arp转换表。

6、主机找到该ip，然后在arp表中加入新的ip-->mac对应关系。

7、防火墙失效了，入侵的ip变成合法的mac地址，可以telnet了。

作者: qq2008444 时间: 2007-8-19 10:15
从影响网络连接通畅的方式来看，ARP欺骗分为二种，一种是对路由器ARP表的欺骗；另一种是对内网PC的网关欺骗。
第一种ARP欺骗的原理是——截获网关数据。它通知路由器一系列错误的内网MAC地址，并按照一定的频率不断进行，使真实的地址信息无法通过更新保存在路由器中，结果路由器的所有数据只能发送给错误的MAC地址，造成正常PC无法收到信息。第二种ARP欺骗的原理是——伪造网关。它的原理是建立假网关，让被它欺骗的PC向假网关发数据，而不是通过正常的路由器途径上网。在PC看来，就是上不了网了，“网络掉线了”。

作者: manutdr08 时间: 2007-8-19 10:44
真周到，谢谢啊

作者: 天笑 时间: 2007-8-19 23:20
各位解释的过于专业化了，楼主可能是在内网遭遇ARP攻击或者对这个感兴趣（即网速等方面受到限制），就这一点来说像网上流传的BT终结者等采用的应该是建立假网关方法进行攻击（截获数据法简而言之就是冒充你的电脑，让网关把本来应发送给你的数据发给攻击者）。打个形象的比喻，现在你家的自来水管通过A（我们就把A看作是一阀门吧）与自来水公司进行连通，我们估且把A看作是正常的网关。这时候有人想限制你家自来水流速，于是他想办法建立一个假网关B，并进行欺骗，使你家的自来水通过B与自来水公司进行连接，这样他就可以自由控制你家自来水的流速即限制你的网速了。

具体实施中攻击者还可以对你的端口等进行限制甚至发送IP冲突使你无法上网等攻击。对付此类攻击较为简单有效的办法就是采用相对应的ARP防火墙，网上就有专用的ARP防火墙，我们学校的机房以前网速超慢，我有一次需要上校园内部网不得不去机房就见一兄弟发一封邮件等半小时的惨状，后来全机房安装ARP防火墙网速简直就是巨变。。。

顺便提醒各位与其他人共用网线的朋友们在BT下载的时候多为别人考虑下，如果让别人开个网页都得等一两分钟的话那别人对你进行类似攻击也实在是不得已而为之，凡事换位思考替别人想一下这世界就会太平不少了，嘿嘿.......

[ Last edited by 天笑 on 2007-8-19 at 23:22 ]

作者: doclsh 时间: 2007-8-20 00:50
看来还是BT惹的祸呀,BT俺是从来不用的,有迅雷就足够了,而且不影响别的弟兄们上网,呵呵.

作者: qq2008444 时间: 2007-8-20 09:17

Quote:

Originally posted by doclsh at 2007-8-20 00:50:
看来还是BT惹的祸呀,BT俺是从来不用的,有迅雷就足够了,而且不影响别的弟兄们上网,呵呵.

和BT没有关系
常用的方法就是:
就是将自己伪装成网关,让所有数据包通过这个假网关,但是因为这个假网关并没有连如互联网,自然大家都掉线了

当然,你也可以通过ARP这种方法截获别人的数据包看里面的东西.以前有个工具就是专门在网吧发动ARP攻击后通过别人的QQ数据包破截别人QQ密码的

我们所谓的LAN(光钎接入,通常用在网吧和小区宽带)的不安全因素就是这样
以前有个PPPOE的验证漏洞就是通过这点来骗取别人的密码

[ Last edited by qq2008444 on 2007-8-20 at 19:01 ]

作者: dhdh 时间: 2007-8-20 16:41
学习了

欢迎光临微点交流论坛 (http://bbs.micropoint.com.cn/)

bbs.micropoint.com.cn