https://baike.baidu.com/item/ARP%E6%AC%BA%E9%AA%97/2805503?fr=aladdin
-
ARP欺骗
ARP欺骗,就是根据ARP作假。
由于局域网的网络流通不是根据IP地址进行,而是根据MAC地址进行传输。
ARP解释
ARP(Address Resolution Protocol)是地址解析协议,
是一种将IP地址转化成物理地址的协议。从IP地址到物理地址的映射有两种方式:表格方式和非表格方式。ARP具体说来就是将网络层(也就是相当于OSI的第三层)地址解析为数据链路层(也就是相当于OSI的第二层)的物理地址(注:此处物理地址并不一定指MAC地址)
ARP原理
某机器A要向主机B发送报文,会查询本地的ARP缓存表,找到B的IP地址对应的MAC地址后,就会进行数据传输。如果未找到,则A广播一个ARP请求报文(携带主机A的IP地址Ia——物理地址Pa),请求IP地址为Ib的主机B回答物理地址Pb。网上所有主机包括B都收到ARP请求,但只有主机B识别自己的IP地址,于是向A主机发回一个ARP响应报文。其中就包含有B的MAC地址,A接收到B的应答后,就会更新本地的ARP缓存。接着使用这个MAC地址发送数据(由网卡附加MAC地址)。因此,本地高速缓存的这个ARP表是本地网络流通的基础,而且这个缓存是动态的。
简单说就是,本地会有个ARP缓存表,存放一些别的电脑的MAC,当你想与别的电脑通信时,可以去ARP缓存里找目标机的MAC,然后给该MAC通信。如果,ARP里没有你要找的目标机的MAC,就发个含有自己IP+MAC和目标IP的广播报文去满世界找该MAC,找到后,存入ARP缓存表,方便下次使用。
ARP协议
ARP协议并不只在发送了ARP请求才接收ARP应答。当计算机接收到ARP应答数据包的时候,就会对本地的ARP缓存进行更新,将应答中的IP和MAC地址存储在ARP缓存中。因此,当局域网中的某台机器B向A发送一个自己伪造的ARP应答,而如果这个应答是B冒充C伪造来的,即IP地址为C的IP,而MAC地址是伪造的,则当A接收到B伪造的ARP应答后,就会更新本地的ARP缓存,这样在A看来C的IP地址没有变,而它的MAC地址已经不是原来那个了。---这就是ARP欺骗了。
含义
1) 什么是ARP欺骗?在局域网中,黑客经过收到ARP Request
广播包,能够偷听到其它节点的 (IP, MAC) 地址, 黑客就伪装为A,告诉B (受害者) 一个假地址,使得B在发送给A 的数据包都被黑客截取,而B 浑然不知。
2) 为什么黑客能够进行ARP欺骗? ARP 是个早期的
网络协议,RFC826在 1980就出版了。早期的互联网采取的是信任模式,在科研、大学内部使用,追求功能、速度,没考虑网络安全。尤其
以太网的
洪泛特点,能够很方便的用来查询。但这也为日后的黑客开了方便之门。黑客只要在局域网内阅读送上门来的ARP Request就能偷听到网内所有的 (IP, MAC)地址。而节点收到ARP Reply时,也不会质疑。黑客很容易冒充他人
3) 能够防止欺骗吗?不能。但这种伤害的伤害已经很小。因为局域网的工作环境有了改变, 服务器通常不会和终端
主机在同一个局域网。但如果黑客对主机发送ARP欺骗分组,向它伪造了网关的地址,或对网关发送ARP欺骗分组,向网关伪造了主机的mac地址,则主机也无法正常和因特网上服务器交流。
工作原理
ARP缓存表
在每台装有tcp/ip协议的电脑里都有一个ARP缓存表,表里的ip地址与
mac地址是一一对应的,如图。
arp缓存表
查看ARP缓存表
ARP缓存表是可以查看的,也可以添加和修改。在
命令提示符下,输入“arp -a”就可以查看arp缓存表的内容了。
用“arp -d”可以删除arp缓存表里的所有内容。
用“arp -s“可以手动在arp表中指定ip地址与
mac地址的对应关系。
欺骗种类
编辑截获网关数据
第一种ARP欺骗的原理是——截获网关数据。它通知路由器一系列错误的内网
MAC地址
,并按照一定的频率不断进行,使真实的地址信息无法通过更新保存在路由器中,结果路由器的所有数据只能发送网络执法官给错误的MAC地址,
造成正常PC无法收到信息
。第二种ARP欺骗的原理是——伪造网关。它的原理是建立假网关,让被它欺骗的PC向假网关发数据,而不是通过正常的路由器途径上网。在PC看来,就是上不了网了,“网络掉线了”。
一般来说,ARP欺骗攻击的后果非常严重,大多数情况下会造成大面积掉线。有些网管员对此不甚了解,出现故障时,认为PC没有问题,
交换机没掉线的“本事”,电信也不承认宽带故障。而且如果第一种ARP欺骗发生时,只要重启
路由器,网络就能全面恢复,那问题一定是在路由器了。为此,
宽带路由器背了不少“黑锅”。
网络执法官 https://baike.baidu.com/item/%E7%BD%91%E7%BB%9C%E6%89%A7%E6%B3%95%E5%AE%98
在
网络执法官中,要想限制某台机器上网,只要点击"网卡"菜单中的"权限",选择指定的网卡号或在用户列表中点击该网卡所在行,从右键菜单中选择"权限",在弹出的对话框中即可限制该用户的权限。对于未登记网卡,可以这样限定其上线:只要设定好所有已知用户(登记)后,将网卡的默认权限改为禁止上线即可阻止所有未知的网卡上线。使用这两个功能就可限制用户上网。其原理是通过ARP欺骗发给被攻击的电脑一个假的网关IP地址对应的MAC,使其找不到网关真正的MAC地址,这样就可以禁止其上网。
骗过执法官
也就是修改MAC地址突破网络执法官的封锁,根据上面的分析,我们不难得出结论:只要修改MAC地址,就可以骗过
网络执法官的扫描,从而达到突破封锁的目的。下面是修改网卡MAC地址的方法:
在"开始"菜单的"运行"中输入
regedit
,打开
注册表编辑器
,展开注册表到:HKEY_LOCAL_ MACHINE/System/CurrentControl Set/Control/Class/
子键
,在子键下的0000,0001,0002等分支中查找
DriverDesc
(如果你有一块以上的网卡,就有0001,0002......在这里保存了有关你的网卡的信息,其中的
DriverDesc
内容就是网卡的信息描述,比如我的网卡是Intel 21041 based Ethernet Controller),在这里假设你的网卡在0000子键。在0000子键下添加一个字符串,命名为"NetworkAddress",键值为修改后的MAC地址,要求为连续的12个16进制数。然后在"0000"子键下的
NDI/params
中新建一项名为NetworkAddress的子键,在该子键下添加名为"default"的字符串,键值为修改后的MAC地址。 在NetworkAddress的子键下继续建立名为"ParamDesc"的字符串,其作用为指定Network Address的描述,其值可为"MAC Address"。这样以后打开网络邻居的"属性",双击相应的网卡就会发现有一个"高级"设置,其下存在MAC Address的选项,它就是你在注册表中加入的新项"NetworkAddress",以后只要在此修改MAC地址就可以了。你的网卡地址已改。关闭注册表,重新启动,你的网卡地址已改。打开网络邻居的属性,双击相应网卡项会发现有一个MAC Address的高级设置项,用于直接修改MAC地址。
MAC地址也叫物理地址、硬件地址或链路地址,由网络设备制造商生产时写在硬件内部。这个地址与网络无关,即无论将带有这个地址的硬件(如网卡、集线器、路由器等)接入到网络的何处,它都有相同的MAC地址,MAC地址一般不可改变,不能由用户自己设定。
MAC地址通常表示为12个16进制数
,每2个16进制数之间用冒号隔开,如:08:00:20:0A:8C:6D就是一个MAC地址,其中
前6位
16进制数,08:00:20
代表网络硬件制造商的编号
,它由IEEE分配,而后6位16进制数0A:8C:6D代表该制造商所制造的某个网络产品(如网卡)的系列号。每个网络制造商必须确保它所制造的每个
以太网
设备都具有相同的前三
字节
以及不同的后三个字节。这样就可
保证世界上每个以太网设备都具有唯一的MAC地址
。
另外,
网络执法官的原理是通过ARP欺骗发给某台电脑有关假的网关IP地址所对应的MAC地址,使其找不到网关真正的MAC地址。因此,只要我们修改IP到MAC的映射就可使网络执法官的ARP欺骗失效,就隔开突破它的限制。你可以事先Ping一下
网关,然后再用ARP -a命令得到网关的MAC地址,最后用ARP -s IP 网卡MAC地址命令把网关的IP地址和它的MAC地址映射起来就可以了。
捣乱元凶
解除了
网络执法官的封锁后,我们可以利用Arpkiller的"Sniffer杀手"扫描整个局域网IP段,然后查找处在"混杂"模式下的计算机,就可以发现对方了。具体方法是:运行Arpkiller(图2),然后点击"Sniffer监测工具",在出现的"Sniffer杀手"窗口中输入检测的起始和终止IP(图3),单击"开始检测"就可以了。