Windows XP Windows 7 Windows 2003 Windows Vista Windows教程綜合 Linux 系統教程
Windows 10 Windows 8 Windows 2008 Windows NT Windows Server 電腦軟件教程
 Windows教程網 >> Windows Server系統教程 >> Server 2003 >> ARP欺騙攻擊原理深入說明分析

ARP欺騙攻擊原理深入說明分析

日期:2017/2/10 9:46:21      編輯:Server 2003

1、ARP協議概述

IP數據包常通過以太網發送。以太網設備並不識別32位IP地址:它們是以48位以太網地址傳輸以太網數據包的。因此,IP驅動器必須把IP目的地址轉換成以太網網目的地址。在這兩種地址之間存在著某種靜態的或算法的映射,常常需要查看一張表。地址解析協議(Address Resolution Protocol,ARP)就是用來確定這些映象的協議。

ARP工作時,送出一個含有所希望的IP地址的以太網廣播數據包。目的地主機,或另一個代表該主機的系統,以一個含有IP和以太網地址對的數據包作為應答。發送者將這個地址對高速緩存起來,以節約不必要的ARP通信。

如果有一個不被信任的節點對本地網絡具有寫訪問許可權,那麼也會有某種風險。這樣一台機器可以發布虛假的ARP報文並將所有通信都轉向它自己,然後它就可以扮演某些機器,或者順便對數據流進行簡單的修改。ARP機制常常是自動起作用的。在特別安全的網絡上, ARP映射可以用固件,並且具有自動抑制協議達到防止干擾的目的。
 

 

圖1是一個用作IP到以太網地址轉換的ARP報文的例子。在圖中每一行為32位,也就是4個八位組表示,在以後的圖中,我們也將遵循這一方式。

硬件類型字段指明了發送方想知道的硬件接口類型,以太網的值為1。協議類型字段指明了發送方提供的高層協議類型,IP為0806(16進制)。硬件地址長度和協議長度指明了硬件地址和高層協議地址的長度,這樣ARP報文就可以在任意硬件和任意協議的網絡中使用。操作字段用來表示這個報文的目的,ARP請求為1,ARP響應為2,RARP請求為3,RARP響應為4。

當發出ARP請求時,發送方填好發送方首部和發送方IP地址,還要填寫目標IP地址。當目標機器收到這個ARP廣播包時,就會在響應報文中填上自己的48位主機地址。

2、ARP使用舉例
我們先看一下linux下的arp命令(如果開始arp表中的內容為空的話,需要先對某台主機進行一個連接,例如ping一下目標主機來產生一個arp項):
 

d2server:/home/kerberos# arp
Address          HWtype  HWaddress         Flags Mask            Iface
211.161.17.254   ether   00:04:9A:AD:1C:0A      C                 eth0

Address:主機的IP地址
Hwtype:主機的硬件類型
Hwaddress:主機的硬件地址
Flags Mask:記錄標志,"C"表示arp高速緩存中的條目,"M"表示靜態的arp條目。
用"arp --a"命令可以顯示主機地址與IP地址的對應表,也就是機器中所保存的arp緩存信息。這個高速緩存存放了最近Internet地址到硬件地址之間的映射記錄。高速緩存中每一項的生存時間一般為20分鐘,起始時間從被創建時開始算起。
 

d2server:/home/kerberos# arp -a
(211.161.17.254) at 00:04:9A:AD:1C:0A [ether] on eth0

可以看到在緩存中有一條211.161.17.254相對應的arp緩存條目。
 

d2server:/home/kerberos# telnet 211.161.17.21
Trying 211.161.17.21...
Connected to 211.161.17.21.
Escape character is '^]'.
^].
telnet>quit
connetion closed.

在執行上面一條telnet命令的同時,用tcpdump進行****:
 

d2server:/home/kerberos# tcpdump -e dst host 211.161.17.21
tcpdump: listening on eth0


我們將會聽到很多包,我們取與我們arp協議相關的2個包:
 

1  0.0 00:D0:F8:0A:FB:83 FF:FF:FF:FF:FF:FF  arp  60
who has 211.161.17.21 tell d2server
2  0.002344(0.0021)00:E0:3C:43:0D:24 00:D0:F8:0A:FB:83  arp  60
arp reply 211.161.17.21 is at 00:E0:3C:43:0D:24

在第1行中,源端主機(d2server)的硬件地址是00:D0:F8:0A:FB:83。目的端主機的硬件地址是FF:FF:FF:FF:FF:FF,這是一個以太網廣播地址。電纜上的每個以太網接口都要接收這個數據幀並對它進行處理。
第1行中緊接著的一個輸出字段是arp,表明幀類型字段的值是0x0806,說明此數據幀是一個ARP請求或回答。
在每行中,單詞後面的值60指的是以太網數據幀的長度。由於ARP請求或回答的數據幀長都是42字節(28字節的ARP數據,14字節的以太網幀頭),因此,每一幀都必須加入填充字符以達到以太網的最小長度要求:60字節。
第1行中的下一個輸出字段arp who-has表示作為ARP請求的這個數據幀中,目的I P地址是211.161.17.21的地址,發送端的I P地址是d2server的地址。tcpdump打印出主機名對應的默認I P地址。
從第2行中可以看到,盡管ARP請求是廣播的,但是ARP應答的目的地址卻是211.161.17.21(00:E0:3C:43:0D:24)。ARP應答是直接送到請求端主機的,而是廣播的。tcpdump打印出arp reply的字樣,同時打印出響應者的主機ip和硬件地址。
在每一行中,行號後面的數字表示tcpdump收到分組的時間(以秒為單位)。除第1行外,每行在括號中還包含了與上一行的時間差異(以秒為單位)。
這個時候我們再看看機器中的arp緩存:
 

d2server:/home/ke
rberos# arp -a (211.161.17.254) at 00:04:9A:AD:1C:0A 
[ether] on eth0 (211.161.17.21) at 00:E0:3C:43:0D:24 [ether] on eth0 

arp高速緩存中已經增加了一條有關211.161.17.21的映射。
再看看其他的arp相關的命令:
 

d2server:/home/kerberos# arp -s 211.161.17.21 00:00:00:00:00:00
d2server:/home/kerberos# arp
Address          HWtype  HWaddress        Flags Mask       Iface
211.161.17.254     ether   00:04:9A:AD:1C:0A     C            eth0
211.161.17.21      ether   00:00:00:00:00:00      CM           eth0
d2server:/home/kerberos# arp -a
(211.161.17.254) at 00:04:9A:AD:1C:0A [ether] on eth0
(211.161.17.21) at 00:00:00:00:00:00 [ether] PERM on eth0


可以看到我們用arp -s選項設置了211.161.17.21對應的硬件地址為00:00:00:00:00:00,而且這條映射的標志字段為CM,也就是說我們手工設置的arp選項為靜態arp選項,它保持不變沒有超時,不像高速緩存中的條目要在一定的時間間隔後更新。
如果想讓手工設置的arp選項有超時時間的話,可以加上temp選項
 

d2server:/home/kerberos# arp -s 211.161.17.21 00:00:00:00:00:00 temp
d2server:/home/kerberos# arp -a
(211.161.17.254) at 00:04:9A:AD:1C:0A [ether] on eth0
(211.161.17.21) at 00:00:00:00:00:00 [ether] on eth0
d2server:/home/kerberos# arp
Address        HWtype  HWaddress         Flags Mask      Iface
211.161.17.254   ether   00:04:9A:AD:1C:0A     C            eth0
211.161.17.21    ether   00:00:00:00:00:00       C            eth0


可以看到標志字段的靜態arp標志"M"已經去掉了,我們手工加上的是一條動態條目。
請大家注意arp靜態條目與動態條目的區別。
在不同的系統中,手工設置的arp靜態條目是有區別的。在linux和win2000中,靜態條目不會因為偽造的arp響應包而改變,而動態條目會改變。而在win98中,手工設置的靜態條目會因為收到偽造的arp響應包而改變。
如果您想刪除某個arp條目(包括靜態條目),可以用下面的命令:
 

d2server:/home/kerberos# arp -d 211.161.17.21  
d2server:/home/kerberos# arp -a
(211.161.17.254) at 00:04:9A:AD:1C:0A [ether] on eth0
(211.161.17.21) at  on eth0

可以看到211.161.17.21的arp條目已經是不完整的了。
還有一些其他的命令,可以參考linux下的man文檔:d2server:/home/kerberos# man arp

3、ARP欺騙
我們先復習一下上面所講的ARP協議的原理。在實現TCP/IP協議的網絡環境下,一個ip包走到哪裡,要怎麼走是靠路由表定義,但是,當ip包到達該網絡後,哪台機器響應這個ip包卻是靠該ip包中所包含的硬件mac地址來識別。也就是說,只有機器的硬件mac地址和該ip包中的硬件mac地址相同的機器才會應答這個ip包,因為在網絡中,每一台主機都會有發送ip包的時候,所以,在每台主機的內存中,都有一個 arp--> 硬件mac 的轉換表。通常是動態的轉換表(該arp表可以手工添加靜態條目)。也就是說,該對應表會被主機在一定的時間間隔後刷新。這個時間間隔就是ARP高速緩存的超時時間。
通常主機在發送一個ip包之前,它要到該轉換表中尋找和ip包對應的硬件mac地址,如果沒有找到,該主機就發送一個ARP廣播包,於是,主機刷新自己的ARP緩存。然後發出該ip包。
了解這些常識後,現在就可以談在以太網絡中如何實現ARP欺騙了,可以看看這樣一個例子。
3.1 同一網段的ARP欺騙
上一頁12 下一頁 閱讀全文

Copyright © Windows教程網 All Rights Reserved