记录黑客技术中优秀的内容,传播黑客文化,分享黑客技术精华

安全运维之ARP攻击原理

2021-03-16 14:46


ARP攻击简介

网络欺骗攻击作为一种非常专业化的攻击手段,给网络安全管理者,带来严峻的考验。网络安全的战场已经从互联网蔓延到用户内部的网络,特别是局域网。目前利用ARP欺骗的木马病毒在局域网中广泛传播,导致网络随机掉线甚至整体瘫痪,通讯被窃听,信息被篡改等严重后果。



ARP协议的缺陷

我们知道病毒往往都是通过网络协议的缺陷来开展攻击,那么ARP协议的缺陷是什么呢?

ARP协议是建立在信任局域网内所有节点的基础上的,他的效率很高。但是不安全。它是无状态的协议。他不会检查自己是否发过请求包,也不知道自己是否发过请求包。他也不管是否合法的应答,只要收到目标mac地址是自己的ARP reply或者ARP广播包(包括ARP reply和ARP request),都会接受并缓存。



ARP攻击原理

ARP欺骗攻击建立在局域网主机间相互信任的基础上的。

当A发广播询问:我想知道IP是192.168.0.3的硬件地址是多少?

此时B当然会回话:我是IP192.168.0.3我的硬件地址是mac-b,

可是此时IP地址是192.168.0.4的C也非法回了:我是IP192.168.0.3,我的硬件地址是mac-c。而且是大量的,所以A就会误信192.168.0.3的硬件地址是mac-c,而且动态更新缓存表,这样主机C就劫持了主机A发送给主机B的数据,这就是ARP欺骗的过程。

假如C直接冒充网关,此时主机C会不停的发送ARP欺骗广播,大声说:我的IP是192.168.0.1,我的硬件地址是mac-c,此时局域网内所有主机都被欺骗,更改自己的缓存表,此时C将会监听到整个局域网发送给互联网的数据报。



攻击形式

1、从协议内部分析

假冒ARP reply包(单波或广播),向单台主机或多台主机发送虚假的IP/MAC地址

假冒ARP request包(单播或广播),实际上是单播或广播虚假的IP、MAC映射。

假冒中间人,启用包转发向两端主机发送假冒的ARP reply,由于ARP缓存的老化机制,有时还需要做周期性连续性欺骗。

2.  从影响网络连接通畅的角度看

对路由ARP表的欺骗

ARP病毒截获网关数据,让路由器获得错误的内网MAC地址,导致路由器把数据发送给错误的mac,是内网内的主机断网

伪造内网网关

ARP病毒通过冒充网关,是内网计算机发送的数据无法到达真正的路由器网关,导致内网计算机断网



ARP欺骗攻击检测技术

1、手动监测

网络管理员可以通过命令查看主机的ARP表或路由器的ARP表

也可以用Sniffer工具进行抓包,查看可疑的<IP,MAC>地址映射

2.动态监测

被动监测 (ARP watch,ARP Guard)

仅监测网路中是否存在ARP欺骗,不主动向外发送ARP报文

主动监测(ARP防火墙)

能够动态的监测局域网内针对本主机和针对网关的ARP欺骗,但如果配置错误,ARP防火墙会向局域网内发送大量的ARP报文,造成ARP报文的广播风暴,影响网络通信。



ARP欺骗攻击的防御

ARP双向绑定

在pc端上 IP+mac 绑定

在网络设备(交换路由)上 采用ip+mac+端口绑定

网关也进行IP和mac的静态绑定

采用支持ARP过滤的防火墙

建立DHCP服务器

ARP攻击一般先攻击网关,将DHCP服务器建立在网关上

划分安全区域

ARP广播包是不能跨子网或网段传播的,网段可以隔离广播包。VLAN就是一个逻辑广播域,通过VLAN技术可以在局域网中创建多个子网,就在局域网中隔离了广播。。缩小感染范围。  但是,安全域划分太细会使局域网的管理和资源共享不方便。



扫码关注我们

了解更多信息安全咨询




知识来源: https://mp.weixin.qq.com/s?__biz=MzU5OTQ0NzY3Ng==&mid=2247488426&idx=1&sn=e560cfadeeb9200ee486e13605637183

阅读:194262 | 评论:0 | 标签:攻击 安全

想收藏或者和大家分享这篇好文章→复制链接地址

“安全运维之ARP攻击原理”共有0条留言

发表评论

姓名:

邮箱:

网址:

验证码:

黑帝公告 📢

十年经营持续更新精选优质黑客技术文章Hackdig,帮你成为掌握黑客技术的英雄

🙇🧎¥由自富财,长成起一↓

标签云 ☁