arp攻擊

ARP攻擊（Address Resolution Protocol Attack）是一種網絡安全攻擊，它利用ARP協(xié)議來欺騙網絡中的計算機，使其相互之間的通信發(fā)生錯誤。 ARP協(xié)議是一種網絡協(xié)議，它的作用是在網絡中用于解析IP地址和物理地址之間的映射關系，它是一種網絡層協(xié)議，它允許一臺計算機在網絡中查找另一臺計算機的物理地址。 ARP攻擊是一種攻擊方式，它利用ARP協(xié)議的特性，通過欺騙ARP緩存來攻擊網絡中的計算機。攻擊者可以發(fā)送偽造的ARP報文，把自己的IP地址映射到受害者的IP地址上，從而使受害者的數(shù)據包被發(fā)送到攻擊者的計算機上。 ARP攻擊的應用可以用來實現(xiàn)拒絕服務攻擊（DoS），攻擊者可以利用ARP攻擊來攔截網絡中受害者的數(shù)據包，從而使受害者的網絡無法正常工作。此外，ARP攻擊還可以用來竊取網絡中的數(shù)據，攻擊者可以利用ARP攻擊來竊取網絡中受害者的數(shù)據，這樣受害者的數(shù)據就會被攻擊者竊取。 ARP攻擊是一種非常危險的攻擊方式，它可以對網絡中的計算機造成嚴重的損害，因此，網絡管理員應該采取有效的措施來防止ARP攻擊的發(fā)生，比如采用防火墻、安裝安全軟件等。

---


   



   ARP定義

ARP（Address Resolution Protocol，地址解析協(xié)議）是一個位于TCP/IP協(xié)議棧中的底層協(xié)議，負責將某個IP地址解析成對應的MAC地址。

ARP協(xié)議的基本功能就是通過目標設備的IP地址，查詢目標設備的MAC地址，以保證通信的進行。

ARP攻擊原理

ARP攻擊就是通過偽造IP地址和MAC地址實現(xiàn)ARP欺騙，能夠在網絡中產生大量的ARP通信量使網絡阻塞，攻擊者只要持續(xù)不斷的發(fā)出偽造的ARP響應包就能更改目標主機ARP緩存中的IP-MAC條目，造成網絡中斷或中間人攻擊。

ARP攻擊主要是存在于局域網網絡中，局域網中若有一個人感染ARP木馬，則感染該ARP木馬的系統(tǒng)將會試圖通過“ARP欺騙”手段截獲所在網絡內其它計算機的通信信息，并因此造成網內其它計算機的通信故障。

遭受ARP攻擊后現(xiàn)象

ARP欺騙木馬的中毒現(xiàn)象表現(xiàn)為：使用局域網時會突然掉線，過一段時間后又會恢復正常。比如客戶端狀態(tài)頻頻變紅，用戶頻繁斷網，IE瀏覽器頻繁出錯，以及一些常用軟件出現(xiàn)故障等。如果局域網中是通過身份認證上網的，會突然出現(xiàn)可認證，但不能上網的現(xiàn)象（無法ping通網關），重啟機器或在MS-DOS窗口下運行命令arp -d后，又可恢復上網。

ARP欺騙木馬只需成功感染一臺電腦，就可能導致整個局域網都無法上網，嚴重的甚至可能帶來整個網絡的癱瘓。該木馬發(fā)作時除了會導致同一局域網內的其他用戶上網出現(xiàn)時斷時續(xù)的現(xiàn)象外，還會竊取用戶密碼。如盜取QQ密碼、盜取各種網絡游戲密碼和賬號去做金錢交易，盜竊網上銀行賬號來做非法交易活動等，這是木馬的慣用伎倆，給用戶造成了很大的不便和巨大的經濟損失。

基于ARP協(xié)議的這一工作特性，黑客向對方計算機不斷發(fā)送有欺詐性質的ARP數(shù)據包，數(shù)據包內包含有與當前設備重復的Mac地址，使對方在回應報文時，由于簡單的地址重復錯誤而導致不能進行正常的網絡通信。一般情況下，受到ARP攻擊的計算機會出現(xiàn)兩種現(xiàn)象：

　　 1.不斷彈出“本機的0-255段硬件地址與網絡中的0-255段地址沖突”的對話框。

　　 2.計算機不能正常上網，出現(xiàn)網絡中斷的癥狀。

　　因為這種攻擊是利用ARP請求報文進行“欺騙”的，所以防火墻會誤以為是正常的請求數(shù)據包，不予攔截。因此普通的防火墻很難抵擋這種攻擊。

對ARP攻擊的防護
防止ARP攻擊是比較困難的,修改協(xié)議也是不大可能。但是有一些工作是可以提高本地網絡的安全性。
首先，你要知道，如果一個錯誤的記錄被插入ARP或者IP route表，可以用兩種方式來刪除。
a. 使用arp –d host_entry
b. 自動過期，由系統(tǒng)刪除
這樣，可以采用以下的一些方法：
1）. 減少過期時間
#ndd –set /dev/arp arp_cleanup_interval 60000
#ndd -set /dev/ip ip_ire_flush_interval 60000
60000=60000毫秒 默認是300000
加快過期時間，并不能避免攻擊，但是使得攻擊更加困難，帶來的影響是在網絡中會大量的出現(xiàn)ARP請求和回復，請不要在繁忙的網絡上使用。
2）. 建立靜態(tài)ARP表
這是一種很有效的方法，而且對系統(tǒng)影響不大。缺點是破壞了動態(tài)ARP協(xié)議�？梢越�立如下的文件。
test.nsfocus.com 08:00:20:ba:a1:f2
user. nsfocus.com 08:00:20:ee:de:1f
使用arp –f filename加載進去，這樣的ARP映射將不會過期和被新的ARP數(shù)據刷新，除非使用arp –d才能刪除。但是一旦合法主機的網卡硬件地址改變，就必須手工刷新這個arp文件。這個方法，不適合于經常變動的網絡環(huán)境。
3）．禁止ARP
可以通過ipconfig interface –arp 完全禁止ARP，這樣，網卡不會發(fā)送ARP和接受ARP包。但是使用前提是使用靜態(tài)的ARP表，如果不在apr表中的計算機 ，將不能通信。這個方法不適用與大多數(shù)網絡環(huán)境，因為這增加了網絡管理的成本。但是對小規(guī)模的安全網絡來說，還是有效可行的。

但目前的ARP病毒層出不窮,已經不能單純的依靠傳統(tǒng)的方法去防范,比如簡單的綁定本機ARP表,我們還需要更深入的了解ARP攻擊原理,才能夠通過癥狀分析并解決ARP欺騙的問題,這里引用一篇關于分析最新ARP病毒:黑金的文章.通過文章,大家可以更好的了解先進ARP欺騙的發(fā)展趨勢:http://www.allhack.cn/viewthread.php?tid=72&extra=page%3D1

   



抱歉，此頁面的內容受版權保護，復制需扣除次數(shù)，次數(shù)不足時需付費購買。

如需下載請點擊：點擊此處下載

關閉

掃碼付費即可復制
X

• 更多詳細解釋內容
• 在通信搜索中檢索“arp攻擊”

FCOE | cru | SAToP | HCSE | hack | 記憶效應 | 駐波 | 小交換機 | APSD | 天線效率 | DSAC | 誤比特率 |