`
shangjava
  • 浏览: 1229492 次
  • 性别: Icon_minigender_1
  • 来自: 北京
文章分类
社区版块
存档分类
最新评论

详解 ARP欺骗

阅读更多

ARP(Address Resolution Protocol)是地址解析协议,是一种将IP地址转化成物理地址的协议。从IP地址到物理地址的映射有两种方式:表格方式和非表格方式。ARP具体说来就是将网络层(IP层,也就是相当于OSI的第三层)地址解析为数据连接层(MAC层,也就是相当于OSI的第二层)的MAC地址。

ARP原理:某机器A要向主机B发送报文,会查询本地的ARP缓存表,找到B的IP地址对应的MAC地址后,就会进行数据传输。如果未找到,则广播A一个ARP请求报文(携带主机A的IP地址Ia——物理地址Pa),请求IP地址为Ib的主机B回答物理地址Pb。网上所有主机包括B都收到ARP请求,但只有主机B识别自己的IP地址,于是向A主机发回一个ARP响应报文。其中就包含有B的MAC地址,A接收到B的应答后,就会更新本地的ARP缓存。接着使用这个MAC地址发送数据(由网卡附加MAC地址)。因此,本地高速缓存的这个ARP表是本地网络流通的基础,而且这个缓存是动态的。

ARP协议并不只在发送了ARP请求才接收ARP应答。当计算机接收到ARP应答数据包的时候,就会对本地的ARP缓存进行更新,将应答中的IP和MAC地址存储在ARP缓存中。因此,当局域网中的某台机器B向A发送一个自己伪造的ARP应答,而如果这个应答是B冒充C伪造来的,即IP地址为C的IP,而MAC地址是伪造的,则当A接收到B伪造的ARP应答后,就会更新本地的ARP缓存,这样在A看来C的IP地址没有变,而它的MAC地址已经不是原来那个了。由于局域网的网络流通不是根据IP地址进行,而是按照MAC地址进行传输。所以,那个伪造出来的MAC地址在A上被改变成一个不存在的MAC地址,这样就会造成网络不通,导致A不能Ping通C!这就是一个简单的ARP欺骗。

ARP欺骗的种类

ARP欺骗是黑客常用的攻击手段之一,ARP欺骗分为二种,一种是对路由器ARP表的欺骗;另一种是对内网PC的网关欺骗。

第一种ARP欺骗的原理是——截获网关数据。它通知路由器一系列错误的内网MAC地址,并按照一定的频率不断进行,使真实的地址信息无法通过更新保存在路由器中,结果路由器的所有数据只能发送给错误的MAC地址,造成正常PC无法收到信息。第二种ARP欺骗的原理是——伪造网关。它的原理是建立假网关,让被它欺骗的PC向假网关发数据,而不是通过正常的路由器途径上网。在PC看来,就是上不了网了,“网络掉线了”。

一般来说,ARP欺骗攻击的后果非常严重,大多数情况下会造成大面积掉线。有些网管员对此不甚了解,出现故障时,认为PC没有问题,交换机没掉线的“本事”,电信也不承认宽带故障。而且如果第一种ARP欺骗发生时,只要重启路由器,网络就能全面恢复,那问题一定是在路由器了。为此,宽带路由器背了不少“黑锅”。

arp欺骗-网络执法官的原理

在网络执法官中,要想限制某台机器上网,只要点击"网卡"菜单中的"权限",选择指定的网卡号或在用户列表中点击该网卡所在行,从右键菜单中选择"权限",在弹出的对话框中即可限制该用户的权限。对于未登记网卡,可以这样限定其上线:只要设定好所有已知用户(登记)后,将网卡的默认权限改为禁止上线即可阻止所有未知的网卡上线。使用这两个功能就可限制用户上网。其原理是通过ARP欺骗发给被攻击的电脑一个假的网关IP地址对应的MAC,使其找不到网关真正的MAC地址,这样就可以禁止其上网。

修改MAC地址突破网络执法官的封锁

根据上面的分析,我们不难得出结论:只要修改MAC地址,就可以骗过网络执法官的扫描,从而达到突破封锁的目的。下面是修改网卡MAC地址的方法:
在"开始"菜单的"运行"中输入regedit,打开注册表编辑器,展开注册表到:HKEY_LOCAL_ MACHINE/System/CurrentControl Set/Control/Class/子键,在子键下的0000,0001,0002等分支中查找DriverDesc(如果你有一块以上的网卡,就有0001,0002......在这里保存了有关你的网卡的信息,其中的DriverDesc内容就是网卡的信息描述,比如我的网卡是Intel 21041 based Ethernet Controller),在这里假设你的网卡在0000子键。
在0000子键下添加一个字符串,命名为"NetworkAddress",键值为修改后的MAC地址,要求为连续的12个16进制数。然后在"0000"子键下的NDI/params中新建一项名为NetworkAddress的子键,在该子键下添加名为"default"的字符串,键值为修改后的MAC地址。

在NetworkAddress的子键下继续建立名为"ParamDesc"的字符串,其作用为指定Network Address的描述,其值可为"MAC Address"。这样以后打开网络邻居的"属性",双击相应的网卡就会发现有一个"高级"设置,其下存在MAC Address的选项,它就是你在注册表中加入的新项"NetworkAddress",以后只要在此修改MAC地址就可以了。

关闭注册表,重新启动,你的网卡地址已改。打开网络邻居的属性,双击相应网卡项会发现有一个MAC Address的高级设置项,用于直接修改MAC地址。

MAC地址也叫物理地址、硬件地址或链路地址,由网络设备制造商生产时写在硬件内部。这个地址与网络无关,即无论将带有这个地址的硬件(如网卡、集线器、路由器等)接入到网络的何处,它都有相同的MAC地址,MAC地址一般不可改变,不能由用户自己设定。MAC地址通常表示为12个16进制数,每2个16进制数之间用冒号隔开,如:08:00:20:0A:8C:6D就是一个MAC地址,其中前6位16进制数,08:00:20代表网络硬件制造商的编号,它由IEEE分配,而后3位16进制数0A:8C:6D代表该制造商所制造的某个网络产品(如网卡)的系列号。每个网络制造商必须确保它所制造的每个以太网设备都具有相同的前三字节以及不同的后三个字节。这样就可保证世界上每个以太网设备都具有唯一的MAC地址。

另外,网络执法官的原理是通过ARP欺骗发给某台电脑有关假的网关IP地址所对应的MAC地址,使其找不到网关真正的MAC地址。因此,只要我们修改IP到MAC的映射就可使网络执法官的ARP欺骗失效,就隔开突破它的限制。你可以事先Ping一下网关,然后再用ARP -a命令得到网关的MAC地址,最后用ARP -s IP 网卡MAC地址命令把网关的IP地址和它的MAC地址映射起来就可以了。

找到使你无法上网的对方

解除了网络执法官的封锁后,我们可以利用Arpkiller的"Sniffer杀手"扫描整个局域网IP段,然后查找处在"混杂"模式下的计算机,就可以发现对方了。具体方法是:运行Arpkiller(图2),然后点击"Sniffer监测工具",在出现的"Sniffer杀手"窗口中输入检测的起始和终止IP(图3),单击"开始检测"就可以了。
检测完成后,如果相应的IP是绿帽子图标,说明这个IP处于正常模式,如果是红帽子则说明该网卡处于混杂模式。它就是我们的目标,就是这个家伙在用网络执法官在捣乱。

分享到:
评论

相关推荐

    北大青鸟课前讲解ARP欺骗

    **ARP欺骗详解** ARP(Address Resolution Protocol,地址解析协议)是TCP/IP协议栈中的一个关键组件,主要负责将IP地址转换为对应的MAC地址,以便在局域网中进行物理层的数据传输。通常,ARP工作在OSI模型的第二层...

    局域网 ARP 欺骗原理详解

    ARP欺骗(ARP Spoofing)是一种网络攻击技术,攻击者(主机B)冒充网络中的另一台设备(通常是路由器或目标主机),向局域网内的其他主机发送虚假的ARP响应,将自己作为中间人插入通信链路中。 **主机B对主机A的ARP...

    arp欺骗原理

    ARP欺骗原理详解 ARP(Address Resolution Protocol)是TCP/IP协议栈中的一个重要组件,负责将IP地址转换为MAC地址,从而确保数据能够在局域网中正确地传输。在以太网环境中,网络设备通过MAC地址来识别和交换数据...

    交换环境下的ARP欺骗和Sniffer

    #### 二、ARP欺骗详解 ARP(Address Resolution Protocol)协议是一种用于获取同一局域网内主机IP地址对应的物理地址的一种协议。ARP欺骗是指攻击者发送伪造的ARP响应包,使目标计算机或路由器将错误的物理地址映射到...

    Arp.rar_arp_arp欺骗

    **ARP协议与ARP欺骗详解** **一、ARP协议基础** ARP(Address Resolution Protocol,地址解析协议)是TCP/IP协议栈中的一个关键组件,它在局域网(LAN)环境中起着至关重要的作用。ARP的主要任务是将网络层的IP...

    ARP命令详解及欺骗原理[参考].pdf

    本文将深入解析ARP命令的使用方法以及ARP欺骗的基本原理。 一、ARP命令详解 1. 查看ARP缓存表 ARP命令可以用来查看系统中的ARP缓存表。通过`arp -a`或`arp -g`命令,可以显示所有接口的当前ARP缓存表。若需查看...

    arp地址欺骗

    ARP欺骗是一种常见的网络安全攻击手段,攻击者通过伪造ARP应答来篡改合法主机与路由器之间的ARP缓存表项,使合法主机误以为攻击者的MAC地址对应于某个合法IP地址,进而导致合法主机的数据包被发送到攻击者处。...

    arp原理 攻击 详解

    ARP 原理与攻击详解 ARP(Address Resolution Protocol)是一种将 IP 地址转化成物理地址的协议。ARP 协议的工作原理是将网络层(相当于 OSI 的第三层)地址解析为数据链路层(相当于 OSI 的第二层)的物理地址。...

    5-2019051091-钟颖谦-ARP欺骗攻击1

    《ARP欺骗攻击详解》 ARP(Address Resolution Protocol,地址解析协议)是局域网中用于将IP地址映射为MAC地址的重要协议。然而,由于其自身的设计缺陷,ARP成为了网络攻击的一个常见目标,ARP欺骗攻击就是其中一种...

    集美大学全面防御ARP欺骗攻击

    ### 集美大学全面防御ARP欺骗攻击 #### 背景介绍 随着信息技术的快速发展,网络安全成为了一个不容忽视的问题。ARP欺骗攻击是一种常见的网络攻击手段,它利用地址解析协议(ARP)的安全漏洞来实施攻击。针对这类...

    使用Cain进行DNS劫持、ARP欺骗.pdf

    "使用Cain进行DNS劫持、ARP欺骗" 本文将详细介绍使用Cain工具进行DNS劫持和ARP欺骗的过程,并对相关的知识点进行解释。 一、ARP欺骗 ARP(Address Resolution Protocol)是用来将IP地址解析为MAC地址的协议。在...

    解决ARP欺骗导致小区用户无法上网

    解决ARP欺骗导致小区用户无法上网,pdf格式

    ARP及攻击详解[归纳].pdf

    在ARP欺骗攻击中,攻击者(例如主机PC03)会冒充网络上的其他设备,如网关,向受害者(如主机PC02)发送虚假的ARP回复包,误导受害者将攻击者的MAC地址误认为是网关的MAC地址。这样一来,受害者的所有网络通信都会被...

    arp_trick.tar.gz

    《ARP欺骗技术详解》 在计算机网络中,ARP(Address Resolution Protocol,地址解析协议)扮演着至关重要的角色,它负责将IP地址转换为物理层的MAC地址,使得数据能够在网络中正确传输。然而,ARP协议的特性也为其...

    关于ARP协议的详解

    1. **ARP欺骗**:攻击者可以通过发送虚假的ARP响应来篡改主机的ARP缓存,使主机将错误的MAC地址与特定的IP地址关联起来,从而实现中间人攻击或者数据窃取。 2. **IP地址冲突**:如果两台或多台主机配置了相同的IP...

    win-ArpSpoofer:使用 libpcap 和 libnet 为 windows 用 C 语言制作的 Arp 欺骗器

    《win-ArpSpoofer:基于libpcap和libnet的C语言实现Windows ARP欺骗工具详解》 在网络安全领域,ARP(Address Resolution Protocol)欺骗是一种常见的攻击手段,它通过篡改网络中的ARP缓存,使得数据包被错误地转发...

    arp双向欺骗以及http报文的嗅探(C语言).zip

    在C语言中,我们可以使用socket编程来实现ARP欺骗。主要涉及以下几个关键步骤: 1. 打开RAW套接字,以发送和接收原始的网络包。 2. 编写ARP包结构体,包括硬件类型、协议类型、硬件地址长度、协议地址长度、操作...

    网络安全之ARP安全技术详解.doc

    **ARP安全技术详解** ARP(Address Resolution Protocol,地址解析协议)是TCP/IP协议...同时,理解并实施这些安全措施对于维护网络安全至关重要,尤其是在企业网络环境中,防止ARP欺骗、DoS攻击等威胁显得尤为重要。

Global site tag (gtag.js) - Google Analytics