关于ARP
1. 什么是ARP?
ARP(AddressResolutionProtocol)地址解析协议用于将计算机的网络IP地址转化为物理MAC地址。ARP协议的基本功能就是通过目标设备的IP地址,查询目标设备的MAC地址,以保证通信的顺利进行。在每台安装有TCP/IP协议的电脑里都有一个ARP缓存表,表里的IP地址与MAC地址是一一对应的,如果系统ARP缓存表被修改不停的通知路由器一系列错误的内网IP或者干脆伪造一个假的网关进行欺骗的话,网络就肯定会出现大面积的掉线问题。ARP攻击在现今的网络中频频出现,有效的防范ARP形式的网络攻击已成为确保网络畅通必要条件。
2. ARP的原理。
我在网上找到了一段很生动的描述:
通常主机在发送一个ip包之前,它要到该转换表中寻找和ip包对应的mac地址。如果没有找到,该主机就发送一个ARP广播包,看起来象这样子:
  "我是主机xxx.xxx.xxx.xxx , mac是xxxxxxxxxxx ,ip为xxx.xxx.xxx.xx1的主机请告之你的mac来"
  ip为xxx.xxx.xxx.xx1的主机响应这个广播,应答ARP广播为:
  "我是xxx.xxx.xxx.xx1,我的mac为xxxxxxxxxx2"
    于是,主机刷新自己的ARP缓存,然后发出该ip包。
    了解这些常识后,现在就可以谈在网络中如何实现ARP欺骗了,可以看看这样一个例子:
    一个入侵者想非法进入某台主机,他知道这台主机的防火墙只对192.0.0.3(假设)这个ip开放23口(telnet),而他必须要使用telnet来进入这台主机,所以他要这么做:
    1、他先研究192.0.0.3这台主机,发现这台95的机器使用一个oob就可以让他死掉。
    2、于是,他送一个洪水包给192.0.0.3的139口,于是,该机器应包而死。
    3、这时,主机发到192.0.0.3的ip包将无法被机器应答,系统开始更新自己的arp对应表。将192.0.0.3的项目搽去。
    4、这段时间里,入侵者把自己的ip改成192.0.0.3
    5、他发一个ping(icmp 0)给主机,要求主机更新主机的arp转换表。
    6、主机找到该ip,然后在arp表中加入新的ip-->mac对应关系。
    7、防火墙失效了,入侵的ip变成合法的mac地址,可以telnet了。
有人也许会说,这其实就是冒用ip嘛。是冒用了ip,但决不是ip欺骗,ip欺骗的原理比这要复杂的多,实现的机理也完全不一样。
3. 实战ARP
我给大家演示一下ARP入侵是如何实现的。给大家揭开这个谜团。当然,只是一笔带过,这篇文章只是让大家识别并防范。决不会教大家利用并入侵。
图一,防火墙拦截了我本机发出的真实ARP信息(IP:192.168.1.23):

图二,伪装IP和MAC。大家记一下和下面的对比:

杭州学院路口电脑维修 杭州花园西村电脑维修 杭州金地大厦电脑维修 杭州西湖大厦电脑维修 杭州团校电脑维修 杭州浙江工商大学电脑维修 杭州省团校电脑维修 杭州省测绘局电脑维修 杭州下宁桥电脑维修 杭州省新华书店电脑维修 杭州枫华府第电脑维修 杭州省建设厅干部学校电脑维修 杭州年代专修学校电脑维修 杭州求是科学院电脑维修 杭州省自然博物馆电脑维修 杭州九莲新村西电脑维修 杭州花园新村电脑维修 杭州黄姑山路电脑维修 杭州省工会干部学校电脑维修 杭州学军中学电脑维修 杭州保俶北路电脑维修 杭州下宁巷电脑维修 杭州求智路电脑维修 杭州西溪公园电脑维修 杭州海洋二所电脑维修 杭州浙江教育学院电脑维修 杭州西溪数码港电脑维修 杭州文二路口电脑维修 杭州学军小学电脑维修 杭州日晖新村电脑维修 杭州东方通信大厦电脑维修 杭州绿洲宾馆电脑维修 杭州省人民检察院电脑维修 杭州市国土局电脑维修 杭州百脑汇电脑维修 杭州五鑫大酒店电脑维修 杭州教工路口电脑维修 杭州立元大厦电脑维修 杭州上宁桥电脑维修 杭州浙江大学西溪校区电脑维修 杭州文三新村电脑维修 杭州庆丰新村电脑维修 杭州玉古路口电脑维修 杭州玉古山庄电脑维修 杭州西湖体育馆电脑维修 杭州绿园电脑维修 杭州跑马场电脑维修 杭州海关电脑维修 杭州黄龙体育中心电脑维修 杭州五环娱乐城电脑维修 杭州黄龙路电脑维修 杭州黄龙洞电脑维修 杭州黄龙公交中心站电脑维修 杭州省国土资源厅电脑维修 杭州世贸中心电脑维修 杭州杭大路电脑维修 杭州杭大路口电脑维修 杭州黄龙饭店电脑维修 杭州沿山河新村电脑维修 杭州浙江图书馆电脑维修 杭州省老年大学电脑维修 杭州宝石二路电脑维修
 阅读全文>>