arp攻擊

ARP攻擊（Address Resolution Protocol Attack）是一種網(wǎng)絡(luò)安全攻擊，它利用ARP協(xié)議來欺騙網(wǎng)絡(luò)中的計算機(jī)，使其相互之間的通信發(fā)生錯誤。 ARP協(xié)議是一種網(wǎng)絡(luò)協(xié)議，它的作用是在網(wǎng)絡(luò)中用于解析IP地址和物理地址之間的映射關(guān)系，它是一種網(wǎng)絡(luò)層協(xié)議，它允許一臺計算機(jī)在網(wǎng)絡(luò)中查找另一臺計算機(jī)的物理地址。 ARP攻擊是一種攻擊方式，它利用ARP協(xié)議的特性，通過欺騙ARP緩存來攻擊網(wǎng)絡(luò)中的計算機(jī)。攻擊者可以發(fā)送偽造的ARP報文，把自己的IP地址映射到受害者的IP地址上，從而使受害者的數(shù)據(jù)包被發(fā)送到攻擊者的計算機(jī)上。 ARP攻擊的應(yīng)用可以用來實現(xiàn)拒絕服務(wù)攻擊（DoS），攻擊者可以利用ARP攻擊來攔截網(wǎng)絡(luò)中受害者的數(shù)據(jù)包，從而使受害者的網(wǎng)絡(luò)無法正常工作。此外，ARP攻擊還可以用來竊取網(wǎng)絡(luò)中的數(shù)據(jù)，攻擊者可以利用ARP攻擊來竊取網(wǎng)絡(luò)中受害者的數(shù)據(jù)，這樣受害者的數(shù)據(jù)就會被攻擊者竊取。 ARP攻擊是一種非常危險的攻擊方式，它可以對網(wǎng)絡(luò)中的計算機(jī)造成嚴(yán)重的損害，因此，網(wǎng)絡(luò)管理員應(yīng)該采取有效的措施來防止ARP攻擊的發(fā)生，比如采用防火墻、安裝安全軟件等。

---


   



   ARP定義

ARP（Address Resolution Protocol，地址解析協(xié)議）是一個位于TCP/IP協(xié)議棧中的底層協(xié)議，負(fù)責(zé)將某個IP地址解析成對應(yīng)的MAC地址。

ARP協(xié)議的基本功能就是通過目標(biāo)設(shè)備的IP地址，查詢目標(biāo)設(shè)備的MAC地址，以保證通信的進(jìn)行。

ARP攻擊原理

ARP攻擊就是通過偽造IP地址和MAC地址實現(xiàn)ARP欺騙，能夠在網(wǎng)絡(luò)中產(chǎn)生大量的ARP通信量使網(wǎng)絡(luò)阻塞，攻擊者只要持續(xù)不斷的發(fā)出偽造的ARP響應(yīng)包就能更改目標(biāo)主機(jī)ARP緩存中的IP-MAC條目，造成網(wǎng)絡(luò)中斷或中間人攻擊。

ARP攻擊主要是存在于局域網(wǎng)網(wǎng)絡(luò)中，局域網(wǎng)中若有一個人感染ARP木馬，則感染該ARP木馬的系統(tǒng)將會試圖通過“ARP欺騙”手段截獲所在網(wǎng)絡(luò)內(nèi)其它計算機(jī)的通信信息，并因此造成網(wǎng)內(nèi)其它計算機(jī)的通信故障。

遭受ARP攻擊后現(xiàn)象

ARP欺騙木馬的中毒現(xiàn)象表現(xiàn)為：使用局域網(wǎng)時會突然掉線，過一段時間后又會恢復(fù)正常。比如客戶端狀態(tài)頻頻變紅，用戶頻繁斷網(wǎng)，IE瀏覽器頻繁出錯，以及一些常用軟件出現(xiàn)故障等。如果局域網(wǎng)中是通過身份認(rèn)證上網(wǎng)的，會突然出現(xiàn)可認(rèn)證，但不能上網(wǎng)的現(xiàn)象（無法ping通網(wǎng)關(guān)），重啟機(jī)器或在MS-DOS窗口下運行命令arp -d后，又可恢復(fù)上網(wǎng)。

ARP欺騙木馬只需成功感染一臺電腦，就可能導(dǎo)致整個局域網(wǎng)都無法上網(wǎng)，嚴(yán)重的甚至可能帶來整個網(wǎng)絡(luò)的癱瘓。該木馬發(fā)作時除了會導(dǎo)致同一局域網(wǎng)內(nèi)的其他用戶上網(wǎng)出現(xiàn)時斷時續(xù)的現(xiàn)象外，還會竊取用戶密碼。如盜取QQ密碼、盜取各種網(wǎng)絡(luò)游戲密碼和賬號去做金錢交易，盜竊網(wǎng)上銀行賬號來做非法交易活動等，這是木馬的慣用伎倆，給用戶造成了很大的不便和巨大的經(jīng)濟(jì)損失。

基于ARP協(xié)議的這一工作特性，黑客向?qū)Ψ接嬎銠C(jī)不斷發(fā)送有欺詐性質(zhì)的ARP數(shù)據(jù)包，數(shù)據(jù)包內(nèi)包含有與當(dāng)前設(shè)備重復(fù)的Mac地址，使對方在回應(yīng)報文時，由于簡單的地址重復(fù)錯誤而導(dǎo)致不能進(jìn)行正常的網(wǎng)絡(luò)通信。一般情況下，受到ARP攻擊的計算機(jī)會出現(xiàn)兩種現(xiàn)象：

　　 1.不斷彈出“本機(jī)的0-255段硬件地址與網(wǎng)絡(luò)中的0-255段地址沖突”的對話框。

　　 2.計算機(jī)不能正常上網(wǎng)，出現(xiàn)網(wǎng)絡(luò)中斷的癥狀。

　　因為這種攻擊是利用ARP請求報文進(jìn)行“欺騙”的，所以防火墻會誤以為是正常的請求數(shù)據(jù)包，不予攔截。因此普通的防火墻很難抵擋這種攻擊。

對ARP攻擊的防護(hù)
防止ARP攻擊是比較困難的,修改協(xié)議也是不大可能。但是有一些工作是可以提高本地網(wǎng)絡(luò)的安全性。
首先，你要知道，如果一個錯誤的記錄被插入ARP或者IP route表，可以用兩種方式來刪除。
a. 使用arp –d host_entry
b. 自動過期，由系統(tǒng)刪除
這樣，可以采用以下的一些方法：
1）. 減少過期時間
#ndd –set /dev/arp arp_cleanup_interval 60000
#ndd -set /dev/ip ip_ire_flush_interval 60000
60000=60000毫秒 默認(rèn)是300000
加快過期時間，并不能避免攻擊，但是使得攻擊更加困難，帶來的影響是在網(wǎng)絡(luò)中會大量的出現(xiàn)ARP請求和回復(fù)，請不要在繁忙的網(wǎng)絡(luò)上使用。
2）. 建立靜態(tài)ARP表
這是一種很有效的方法，而且對系統(tǒng)影響不大。缺點是破壞了動態(tài)ARP協(xié)議�？梢越�立如下的文件。
test.nsfocus.com 08:00:20:ba:a1:f2
user. nsfocus.com 08:00:20:ee:de:1f
使用arp –f filename加載進(jìn)去，這樣的ARP映射將不會過期和被新的ARP數(shù)據(jù)刷新，除非使用arp –d才能刪除。但是一旦合法主機(jī)的網(wǎng)卡硬件地址改變，就必須手工刷新這個arp文件。這個方法，不適合于經(jīng)常變動的網(wǎng)絡(luò)環(huán)境。
3）．禁止ARP
可以通過ipconfig interface –arp 完全禁止ARP，這樣，網(wǎng)卡不會發(fā)送ARP和接受ARP包。但是使用前提是使用靜態(tài)的ARP表，如果不在apr表中的計算機(jī) ，將不能通信。這個方法不適用與大多數(shù)網(wǎng)絡(luò)環(huán)境，因為這增加了網(wǎng)絡(luò)管理的成本。但是對小規(guī)模的安全網(wǎng)絡(luò)來說，還是有效可行的。

但目前的ARP病毒層出不窮,已經(jīng)不能單純的依靠傳統(tǒng)的方法去防范,比如簡單的綁定本機(jī)ARP表,我們還需要更深入的了解ARP攻擊原理,才能夠通過癥狀分析并解決ARP欺騙的問題,這里引用一篇關(guān)于分析最新ARP病毒:黑金的文章.通過文章,大家可以更好的了解先進(jìn)ARP欺騙的發(fā)展趨勢:http://www.allhack.cn/viewthread.php?tid=72&extra=page%3D1

   



抱歉，此頁面的內(nèi)容受版權(quán)保護(hù)，復(fù)制需扣除次數(shù)，次數(shù)不足時需付費購買。

如需下載請點擊：點擊此處下載

關(guān)閉

掃碼付費即可復(fù)制
X

• 更多詳細(xì)解釋內(nèi)容
• 在通信搜索中檢索“arp攻擊”

wiki | 服務(wù)質(zhì)量協(xié)議 | 海爾 | 　TD | 新西蘭電信 | 故障管理 | m2pa | 帶內(nèi)信令 | 電信服務(wù)器 | pow | 手機(jī)信息 | 無線尋呼 |