ARP攻击原理是什么?回答这个问题之前,让我们先来了解什么是ARP。ARP(Address Resolution Protocol,地址解析协议)是一个位于TCP/IP协议栈中的网络层,负责将某个IP地址解析成对应的MAC地址。
ARP 病毒攻击是局域网最常见的一种攻击方式。由于TCP/IP协议存在的一些漏洞给ARP病毒有进行欺骗攻击的机会,ARP利用TCP/IP协议的漏洞进行欺骗攻击,现已严重影响到人们正常上网和通信安全。当局域网内的计算机遭到ARP的攻击时,它就会持续地向局域网内所有的计算机及网络通信设备发送大量的ARP欺骗数据包,如果不及时处理,便会造成网络通道阻塞、网络设备的承载过重、网络的通讯质量不佳等情况。
ARP攻击主要是通过伪造IP地址和MAC地址进行欺骗。使以太网数据包的源地址、目标地址和ARP通信数量剧增导致网络中断或中间人攻击。ARP攻击主要存在于局域网中。若其中一台计算机感染ARP病毒。就会试图通过ARP欺骗截获局域网内其他计算机的信息,造成局域网内的计算机通信故障。
假设有台主机A,B,C位于同一个交换式局域网中,监听者主机为A,而主机B、c正在进行通信,A希望能嗅探到B与c之间的通信数据,于是A就可以伪装成c对B做ARP欺骗,向B发送伪造的ARP应答包,在这个伪造的应答包中,IP地址为c的IP地址,而MAC地址为A的MAC地址:B在接收到这个应答包后,会刷新它的ARP缓存,这样在B的ARP缓存表中就出现了c的IP地址对应的是A的MAC地址,说详细点,就是让B认为c的IP地址映射到的MAC地址为主机A的MAC地址,这样,B想要发送给C的数据实际上却发送给了A,这样就达到了嗅探的目的。黑客就可以利用这种手段盗取网络上的重要信息。
当网络内部有计算机中了ARP病毒,网络内其他计算机就会经常弹出IP地址冲突的警告:这是怎么产生的呢?比如某主机B规定IP地址为192.168.1.18,如果它处于开机状态,那么其他主机D也把它的IP地址改为192.168.1.18就会造成IP地址冲突。其原理就是:主机D在连接网络(或更改IP地址)的时候它就会向网络内部发送ARP广播包,告诉其他计算机自己的IP地址。如果网络内部存在相同IP地址的主机B,那么B就会通过ARP来作出应答,当D接收到这个应答数据包后,D就会跳出IP地址冲突的警告,B也会弹出IP地址冲突警告:因此用ARP欺骗可以来伪造这个ARPReply,使目标主机一直受到IP地址冲突警告的困扰。
比如在一个局域网内通过网关上网,那么局域网内部的计算机上的ARP缓存中就存在网关IP-MAC对应记录。如果该记录被ARP病毒更改,那么该计算机向外发送的数据包就会发送到了错误的网关硬件地址上。这样,该计算机就无法上网了。
相关课程内容推荐
思科认证备考须知:CCNP是什么
思博全新EI课程上架:CCNP-EI 课程
思博CCNP课程安排表: CCNP-EI课表
网工必备证书:什么是思科认证CCNP
CCNP怎么考?具体考什么内容:新旧版CCNP对比分析
即刻预约
免费试听-咨询课程-获取免费资料