0x01 ARP协议概述
ARP协议又称地址解析协议,是网络层协议,负责将某个IP地址解析成对应的MAC地址。
一台主机和另一台主机通信,要知道目标的IP地址,但是在局域网中传输数据的网卡却不能直接识别IP地址,所以用ARP解析协议将IP地址解析成MAC地址。ARP协议的基本功能就是通过目标设备的IP地址,来查询目标设备的mac地址。
在局域网的任意一台主机中,都有一个ARP缓存表,里面保存本机已知的此局域网中各主机和路由器的IP地址和MAC地址的对照关系。
0x02 ARP协议缺陷
ARP协议是建立在信任局域网内所有节点的基础上的,他的效率很高。但是不安全。它是无状态的协议。他不会检查自己是否发过请求包,也不知道自己是否发过请求包。他也不管是否是合法的应答,只要收到目标mac地址是自己的ARP reply或者ARP广播包(包括ARP reply和ARP request),都会接受并缓存。
0x03 ARP攻击原理
ARP欺骗攻击建立在局域网主机间相互信任的基础上的。当A发广播询问:我想知道IP是192.168.0.3的硬件地址是多少?此时B当然会回话:我是IP192.168.0.3我的硬件地址是mac-b,可是此时IP地址是192.168.0.4的C也非法回了:我是IP192.168.0.3,我的硬件地址是mac-c。而且是大量的。所以A就会误信192.168.0.3的硬件地址是mac-c,而且动态更新缓存表,这样主机C就劫持了主机A发送给主机B的数据,这就是ARP欺骗的过程。
假如C直接冒充网关,此时主机C会不停的发送ARP欺骗广播,大声说:我的IP是192.168.0.1,我的硬件地址是mac-c,此时局域网内所有主机都被欺骗,更改自己的缓存表,此时C将会监听到整个局域网发送给互联网的数据报。
0x04 ARP病毒攻击症状
通常表现:
(1)打开网页速度非常慢,甚至打不开
(2)提示IP地址冲突
(3)甚至导致校园网瘫痪断网
(4)一般会绑定木马病毒,窃取用户账号密码
0x05 ARP病毒攻击形式
1、从协议内部分析
-假冒ARP reply包(单波或广播),向单台主机或多台主机发送虚假的IP/MAC地址
-假冒ARP request包(单播或广播),实际上是单播或广播虚假的IP、MAC映射。
-假冒中间人,启用包转发向两端主机发送假冒的ARP reply,由于ARP缓存的老化机制,有时还需要做周期性连续性欺骗。
2、从影响网络连接通畅的角度看
-对路由ARP表的欺骗
ARP病毒截获网关数据,让路由器获得错误的内网MAC地址,导致路由器把数据发送给错误的mac,是内网内的主机断网
-伪造内网网关
ARP病毒通过冒充网关,是内网计算机发送的数据无法到达真正的路由器网关,导致内网计算机断网
