ARP欺骗攻击原理分析
相对而言,ARP欺骗是局域网中常见的现象。这个问题主要是局域网内的一台电脑感染病毒后,骗取其他电脑的mac地址造成的。通过ARP协议将IP地址转换为第二层物理地址,实现局域网计算机之间的通信。ARP协议对网络安全具有重要意义。这是建立在相互信任的基础上。如果通过伪造IP地址和MAC地址来实现ARP欺骗,那么网络中就会产生大量的ARP流量,对网络进行阻塞、丢弃、重定向和嗅探。
我们知道每台主机都使用ARP缓存来存储最近的IP地址和MAC硬件地址之间的映射记录。Windows缓存中每条记录的生存期一般为60秒,开始时间从创建之时算起。默认情况下,ARP从缓存中读取IP-MAC条目,缓存中的IP-MAC条目根据ARP响应数据包动态变化。因此,每当ARP响应数据包发送到网络上的本地计算机时,ARP缓存中的IP-MAC条目都会更新。比如X给Y发了一个假的ARP回复,这个回复中数据发送方的IP地址是192 . 168 . 1 . 3(Z的IP地址),MAC地址是DD-DD-DD-DD-DD(Z的真实MAC地址是CC-CC-CC-CC-CC-CC,这里是伪造的)。当Y收到X伪造的ARP回复时,会更新本地ARP缓存(Y不知道是伪造的)。如果它被伪造成一个入口呢?
交换机上还维护了一个动态MAC缓存,一般是这样的。首先,交换机内部有一个对应的列表,交换机的端口MAC地址表记录了每个端口下存在的那些MAC地址。该表以空开头,交换机从传入和传出的数据帧中学习。因为MAC-PORT缓存表是动态更新的,整个交换机的端口表都是变化的,欺骗交换机MAC地址的洪水不断发送大量带有假MAC地址的数据包,交换机就会更新MAC-PORT缓存。如果能采用这种方法,那么之前正常的MAC和端口的关系就被破坏了。然后交换机会泛洪发送到各个端口,使交换机基本成为一个HUB,向所有端口发送数据包,同样可以达到嗅探攻击的目的。它还会导致交换机MAC端口缓存崩溃,如下图交换机中的日志所示:
6弦
互联网192 . 168 . 1 . 4 0000 b . cd85 . a193 arpavlan 256
互联网192 . 168 . 1 . 5 0000 b . cd85 . a193 arpavlan 256
互联网192 . 168 . 1 . 6 0000 b . cd85 . a193 arpavlan 256
互联网192 . 168 . 1 . 7 000 b . cd85
ARP攻击的主要现象
网上银行和机密数据频繁丢失。*当域网络中的主机运行ARP欺骗的木马程序时,会欺骗本地网络中的所有主机和路由器,使得所有的上网流量都必须经过病毒主机。其他用户以前是直接通过路由器上网,现在是通过病毒主机上网。切换时,用户会断开一次。切换到病毒主机上网后,如果用户已经登录了服务器,病毒主机往往会伪装成断线的假象,然后用户不得不重新登录服务器,这样病毒主机就可以窃取所有机器的信息。
网速时快时慢,极不稳定,但单机测试光纤数据时一切正常。频繁局部区域或整个局域网断网,电脑或网络设备重启恢复正常。
由于被ARP欺骗的木马程序在攻击时会发出大量数据包,导致局域网通信拥塞,自身处理能力受限,用户会感觉上网速度越来越慢。当ARP欺骗的木马程序停止运行时,用户会从路由器恢复上网,切换过程中用户会再次断网。
位律师回复
0条评论