`
- 浏览:
513351 次
- 性别:
- 来自:
北京
-
引用
此文形象的解释了Arp欺骗的过程
假设一个只有三台电脑组成的局域网,该局域网由交换机(Switch)连接。其中一个电脑名叫A,代表攻击方;一台电脑叫S,代表源主机,即发送数据的电脑;令一台电脑名叫D,代表目的主机,即接收数据的电脑。这三台电脑的IP地址分别为192.168.0.2,192.168.0.3,192.168.0.4。MAC地址分别为MAC_A,MAC_S,MAC_D。其网络拓扑环境如图3。
图3 网络拓扑
现在,S电脑要给D电脑发送数据了,在S电脑内部,上层的TCP和UDP的数据包已经传送到了最底层的网络接口层,数据包即将要发送出去,但这时还不知道目的主机D电脑的MAC地址MAC_D。这时候,S电脑要先查询自身的ARP缓存表,查看里面是否有192.168.0.4这台电脑的MAC地址,如果有,那很好办,就将 封装在数据包的外面。直接发送出去即可。如果没有,这时S电脑要向全网络发送一个ARP广播包,大声询问:“我的IP是192.168.0.3,硬件地址是MAC_S,我想知道IP地址为192.168.0.4的主机的硬件地址是多少?” 这时,全网络的电脑都收到该ARP广播包了,包括A电脑和D电脑。A电脑一看其要查询的IP地址不是自己的,就将该数据包丢弃不予理会。而D电脑一看IP地址是自己的,则回答S电脑:“我的IP地址是192.168.0.4,我的硬件地址是MAC_D”需要注意的是,这条信息是单独回答的,即D电脑单独向S电脑发送的,并非刚才的广播。现在S电脑已经知道目的电脑D的MAC地址了,它可以将要发送的数据包上贴上目的地址MAC_D,发送出去了。同时它还会动态更新自身的ARP缓存表,将192.168.0.4-MAC_D这一条记录添加进去,这样,等S电脑下次再给D电脑发送数据的时候,就不用大声询问发送ARP广播包了。这就是正常情况下的数据包发送过程。
这样的机制看上去很完美,似乎整个局域网也天下太平,相安无事。但是,上述数据发送机制有一个致命的缺陷,即它是建立在对局域网中电脑全部信任的基础上的,也就是说它的假设前提是:无论局域网中那台电脑,其发送的ARP数据包都是正确的。那么这样就很危险了!因为局域网中并非所有的电脑都安分守己,往往有非法者的存在。比如在上述数据发送中,当S电脑向全网询问“我想知道IP地址为192.168.0.4的主机的硬件地址是多少?”后,D电脑也回应了自己的正确MAC地址。但是当此时,一向沉默寡言的A电脑也回话了:“我的IP地址是192.168.0.4,我的硬件地址是MAC_A” ,注意,此时它竟然冒充自己是D电脑的IP地址,而MAC地址竟然写成自己的!由于A电脑不停地发送这样的应答数据包,本来S电脑的ARP缓存表中已经保存了正确的记录:192.168.0.4-MAC_D,但是由于A电脑的不停应答,这时S电脑并不知道A电脑发送的数据包是伪造的,导致S电脑又重新动态更新自身的ARP缓存表,这回记录成:192.168.0.4-MAC_A,很显然,这是一个错误的记录(这步也叫ARP缓存表中毒),这样就导致以后凡是S电脑要发送给D电脑,也就是IP地址为192.168.0.4这台主机的数据,都将会发送给MAC地址为MAC_A的主机,这样,在光天化日之下,A电脑竟然劫持了由S电脑发送给D电脑的数据!这就是ARP欺骗的过程。
如果A这台电脑再做的“过分”一些,它不冒充D电脑,而是冒充网关,那后果会怎么样呢?我们大家都知道,如果一个局域网中的电脑要连接外网,也就是登陆互联网的时候,都要经过局域网中的网关转发一下,所有收发的数据都要先经过网关,再由网关发向互联网。在局域网中,网关的IP地址一般为192.168.0.1。如果A这台电脑向全网不停的发送ARP欺骗广播,大声说:“我的IP地址是192.168.0.1,我的硬件地址是MAC_A”这时局域网中的其它电脑并没有察觉到什么,因为局域网通信的前提条件是信任任何电脑发送的ARP广播包。这样局域网中的其它电脑都会更新自身的ARP缓存表,记录下192.168.0.1-MAC_A这样的记录,这样,当它们发送给网关,也就是IP地址为192.168.0.1这台电脑的数据,结果都会发送到MAC_A这台电脑中!这样,A电脑就将会监听整个局域网发送给互联网的数据包!
实际上,这种病毒早就出现过,这就是ARP地址欺骗类病毒。一些传奇木马(Trojan/PSW.LMir)具有这样的特性,该木马一般通过传奇外挂、网页木马等方式使局域网中的某台电脑中毒,这样中毒电脑便可嗅探到整个局域网发送的所有数据包,该木马破解了《传奇》游戏的数据包加密算法,通过截获局域网中的数据包,分析数据包中的用户隐私信息,盗取用户的游戏帐号和密码。在解析这些封包之后,再将它们发送到真正的网关。这样的病毒有一个令网吧游戏玩家闻之色变的名字:“传奇网吧杀手” !
- 大小: 15.8 KB
分享到:
相关推荐
- `NetFuke.exe`:这是ARP欺骗工具的主要可执行文件,用户通过运行这个文件来启动和控制ARP欺骗过程。 - `NetFuke_Help.xls`:可能是NETfuke工具的帮助文档,用Excel格式存储,提供关于如何使用该工具的指导和信息。...
- **2.2.2 对主机的ARP欺骗过程** 攻击者向受害主机发送伪造的ARP响应报文,声称自己的MAC地址是网关的MAC地址。这样,受害主机就会将所有的流量发送给攻击者。 - **2.2.3 对网关的ARP欺骗过程** 攻击者向网关...
**四、ARP欺骗过程** 1. **伪造身份**: 攻击者假装成网络中的某个设备,例如网关或交换机,向网络中的其他设备发送ARP响应,声称自己是这些设备的IP地址。 2. **欺骗目标**: 目标主机接收到这些响应后,会更新其ARP...
ARP欺骗是一种网络攻击技术,通过篡改网络中的ARP(Address Resolution Protocol,地址解析协议)响应,使得数据包被错误地发送到攻击者而非真正的目标主机。在C#中实现ARP欺骗,开发者需要深入理解ARP协议的工作...
本文将详细介绍ARP欺骗源代码的实现细节,该源代码基于WinPcap实现,旨在帮助读者深入了解ARP欺骗的原理和实现过程。 标题解释 该源代码的标题为“ARP欺骗源代码(基于WinPcap实现)”,表明该源代码是一个ARP欺骗...
ARP欺骗原理与过程: ARP协议是将IP地址解析为物理(MAC)地址的一种机制。正常情况下,主机通过ARP请求找到目标IP对应的MAC地址,然后直接发送数据。然而,当攻击者C监听到ARP请求后,它可以伪造目标主机的IP地址,...
ARP欺骗就是利用这个过程,伪造ARP响应,将目标设备的流量重定向到攻击者。 断网攻击是ARP欺骗的一种常见形式。攻击者向网络中的路由器或交换机发送伪造的ARP响应,声称自己是目标设备,这样所有的数据包都将被发送...
描述ARP的主要协议格式以及ARP的主要原理,介绍了ARP欺骗的主要原理和模拟实现过程。
四、ARP欺骗过程: 1. 正常通信:目标主机之间可以正常进行UDP通信,黑客主机无法监听。 2. ARP攻击:黑客主机向目标主机发送伪造的ARP响应,将目标主机的IP地址与自己的MAC地址关联,从而拦截通信。 3. 单向欺骗:...
描述中提到的"一个基于arp欺骗工具的源码,欺骗目标ip可以插入指定代码",意味着这个源码不仅能够执行ARP欺骗,还具备在欺骗过程中向目标IP注入特定代码的能力。这可能涉及到网络嗅探、数据包构造和注入等高级技巧,...
运行这个程序,用户可以启动ARP欺骗的检测过程。通常,这样的工具会提供以下功能: 1. 实时监控:持续扫描网络中的ARP流量,分析其中的异常行为。 2. 异常报警:一旦检测到ARP欺骗,立即通知用户,显示相关的IP和...
本文将详细介绍ARP欺骗的工作原理、实施过程以及防御措施。 #### 二、ARP协议概述 ARP协议用于在网络层和数据链路层之间进行地址转换,主要功能是将IP地址解析为物理地址(MAC地址)。在以太网中,当一台主机需要...
ARP欺骗原理详解 ARP(Address Resolution Protocol)是TCP/IP协议栈中的一个重要组件,负责将IP地址转换为MAC地址,从而确保数据能够在局域网中正确地传输。在以太网环境中,网络设备通过MAC地址来识别和交换数据...
模拟ARP欺骗的过程通常涉及以下步骤: 1. 攻击者首先需要在网络中获得一席之地,通常通过连接到同一局域网或利用已存在的漏洞。 2. 使用ARP欺骗工具,如arpspoof或ettercap,攻击者向目标设备发送伪造的ARP响应,...
ARP欺骗案例 ARP欺骗案例是指攻击者通过发送虚假的ARP报文来欺骗受害者,使其将数据包发送到错误的目的地,从而截获数据或实施拒绝服务攻击。下面是ARP欺骗案例的详细说明: ARP欺骗原理 在TCP/IP网络环境下,一...
5. **使用三层交换**:在大型网络环境中,通过使用三层交换机进行路由而不是简单的二层交换,可以避免ARP欺骗,因为数据包会在路由过程中被验证。 6. **教育用户**:提高用户的安全意识也是防止ARP欺骗的关键。让...
局域网ARP欺骗攻击是一种常见的网络安全威胁,主要利用了局域网中地址解析协议(ARP)的漏洞。ARP是用于将IP地址映射为物理MAC地址的协议,它在局域网通信中起着关键作用。当ARP欺骗发生时,攻击者会伪造ARP响应,...
在`arpspoof.c`源代码中,可以看到如何利用这些函数构建ARP欺骗的过程,包括生成和发送ARP包,以及处理收到的响应。 5. 安全防护:了解ARP欺骗后,我们也需要知道如何防止这种攻击。一种常见的方法是使用ARP缓存...
### ARP欺骗的监测与防范技术综述 #### 1. ARP欺骗原理 ARP(Address Resolution Protocol,地址解析协议)是网络层中一个重要的协议,用于在网络层的IP地址与链路层的MAC地址之间建立映射关系。在以太网环境中,...
### 交换环境下的ARP欺骗与Sniffer技术解析 #### 一、引言 随着网络技术的发展,网络安全问题日益凸显。ARP欺骗与Sniffer是两种常见的网络攻击手段,尤其是在局域网环境中更为常见。本文旨在通过分析给定内容,...