分析ARP欺骗攻击

作者:课课家教育更新于： 2018-03-08 18:24:07

　　在局域网中，通信前必须通过ARP协议来完成IP地址转换为第二层物理地址(即MAC地址)。ARP协议对网络安全具有重要意义，当初ARP方式的设计没有考虑到过多的安全问题，给ARP留下很多隐患，ARP欺骗就是其中的例子。而ARP欺骗攻击就是利用协议漏洞，通过伪造IP地址和MAC地址实现ARP的攻击技术。下面就一起来认识一下ARP欺骗攻击。

　　1、ARP欺骗的原理

　　由于局域网的网络流通不是根据IP地址进行，而是按照MAC地址进行传输。所以，那个伪造出来的MAC地址在A上被改变成一个存在的MAC地址，这样就会造成网络不通，导致A不能Ping同C，这就是一个简单的ARP欺骗。在局域网中，黑客经过收到ARP Request广播包，能够偷听到其他节点的(IP，MAC)地址，黑客就伪装为A，告诉B (受害者) 一个假地址，使得B在发送给A 的数据包都被黑客截取，而A，B 浑然不知。ARP欺骗是黑客常用的攻击手段之一，ARP 欺骗分为两种，一种是双向欺骗，一种是单向欺骗。

　　2、ARP欺骗的分类

　　1)单向欺骗

　　A的地址为：IP：192.168.10.1 MAC: AA-AA-AA-AA-AA-AA

　　B的地址为：IP：192.168.10.2 MAC: BB-BB-BB-BB-BB-BB

　　C的地址为：IP：192.168.10.3 MAC: CC-CC-CC-CC-CC-CC

　　A和C之间进行通讯.但是此时B向A发送一个自己伪造的ARP应答，而这个应答中的数据为发送方IP地址是192.168.10.3(C的IP地址)，MAC地址是BB-BB-BB-BB-BB-BB(C的MAC地址本来应该是CC-CC-CC-CC-CC-CC，这里被伪造了)。当A接收到B伪造的ARP应答，就会更新本地的ARP缓存(A被欺骗了)，这时B就伪装成C了。同时，B同样向C发送一个ARP应答，应答包中发送方IP地址是192.168.10.1(A的IP地址)，MAC地址是BB-BB-BB-BB-BB-BB(A的MAC地址本来应该是AA-AA-AA-AA-AA-AA)，当C收到B伪造的ARP应答，也会更新本地ARP缓存(C也被欺骗了)，这时B就伪装成了A。这样主机A和C都被主机B欺骗，A和C之间通讯的数据都经过了B。主机B完全可以知道他们之间说的什么：)。这就是典型的ARP欺骗过程。

　　掐断A 与 c的通讯，实现原理：b 向A 发送一条ARP 数据包，内容为：c的地址是00:00:00:00:00:00 (一个错误的地址)，那么A 此后向c发的数据包都会发到00，而这个地址是错误的，所以通讯中断了，但是要注意了，这里只是A --> c 中断了，c --> A 没有中断，所以这个叫单向欺骗。

　　掐断c与A 的通讯，实现原理和第一条一样，如果和第一条一起发，那么A 和c 的通讯就完全中断了，即：A <-- ×--> c。

　　嗅探A 与c 的通讯，实现原理：b 向A 发送一条ARP 数据包，内容为：c的地址是AA:BB:CC:DD:EE:FF (b自己的地址)，也就是说，b 对 A 说：我才是c，于是A 把向c发送的数据都发给b 了，b得到数据后就可以为所欲为了，可以直接丢弃，那么通讯中断，也可以再次转发给c，那么又形成回路，B当了个中间人，监视A 和c 的通讯.此时你就可以用CAIN等任何抓包工具进行本地嗅探了。

　　2)双向欺骗

　　A要跟C正常通讯，B向A说我是才C。B向C说我才是A，那么这样的情况下把A跟C的ARP缓存表全部修改了。以后通讯过程就是 A把数据发送给B,B在发送给C，C把数据发送B，B在把数据给A。

　　攻击主机发送ARP应答包给被攻击主机和网关，它们分别修改其ARP缓存表为, 修改的全是攻击主机的MAC地址，这样它们之间数据都被攻击主机截获。

　　3)区别

　　单向欺骗:是指欺骗网关，分别有三个机器 A(网关) B(server) C(server) 。A要跟C正常通讯。B给A说我才是C，那么A就把数据就给C了，此时A就把原本给C的数据给了B了，A修改了本地的缓存表,但是C跟A的通讯还是正常的。只是A跟C的通讯不正常。

　　双向欺骗:是欺骗网关跟被攻击的两个机器,A(网关) B(server) C(server),A要跟C正常通讯.B对A说我是C，B对C说我是A,那么这样的情况下A跟C的ARP缓存表全部修改了,发送的数据全部发送到B那里去了。

　　3、ARP欺骗的危害

　　ARP欺骗可以造成内部网络的混乱，让某些被欺骗的服务器无法正常访问内外网络，使网关无法和客户端正常通信。实际上它的危害不仅仅如此。一般来说IP地址的冲突我们可以通过多种方法和手段来避免，而ARP协议工作在更低层，隐秘性更高。系统不会判断ARP缓存的正确与否，无法像IP地址冲突那样给出提示。而且很多黑客工具例如网络剪刀手等，可以随时发送ARP欺骗数据包和ARP恢复数据包，这样就可以实现在一台Server上通过发送ARP数据包的方法来控制网络中任何一台Server的网络链路，甚至还可以直接对网关进行攻击，让所有连接网络的计算机都无法正常上网。所以说ARP欺骗的危害是巨大的，而且非常难对付，必须在其发生之前利用网络设备的部署策略(VLAN、IP+MAC绑定)加以避免。

　　4、防范措施

　　在客户端使用arp命令绑定网关的真实MAC地址命令

　　在交换机上做端口与MAC地址的静态绑定

　　在路由器上做IP地址与MAC地址的静态绑定

　　使用“ARP SERVER”按一定的时间间隔广播网段内所有主机的正确IP-MAC映射表

　　5、黑客常用的突破ARP防火墙的嗅探技术

　　黑客常用的突破ARP防火墙的嗅探技术流程如下：

　　突破ARP防火墙的原理就是不停地发包到网关(每秒几十次)，对网关说我是真的机器，避免其他机器冒充本机(比如目标本机是A，你是B，你向网关说我才是A)，由于你发的频率高，所以在很短的时间周期内，网关认为你是受害机器，因此。目标机器正常的数据包就发过来啦!

　　随着网络技术的发展，由于ARP协议早期的许多设计缺陷，ARP漏洞弊病日益显露。针对这些这个问题，最根本的解决措施是使用IPv6协议。虽然不够也不尽完善，但是随着互联网的发展，它也会日臻完善。以上就是对ARP欺骗攻击的分析，希望对大家了解ARP欺骗攻击有所帮助。