首页 > 其他分享 >ARP协议介绍与投毒攻击

ARP协议介绍与投毒攻击

时间:2024-07-11 18:40:45浏览次数:18  
标签:ARP 缓存 攻击 IP 地址 投毒 MAC IP地址

目录


ARP是什么?

ARP是通过网络地址(IP)来定位机器MAC地址的协议,它通过解析网络层地址(IP)来找寻数据链路层地址(MAC)的网络传输协议。

image

ARP已经在很多网路层和数据链接层之间得以实现。不过在IPv6中用邻居发现协议(NDP)代替地址解析协议(ARP)。

我的理解,ARP协议类似编程中的底层系统函数,一般用户用不到,或者没有太多单独使用场景。它一般结合着上层的协议使用,比如上层的TCP、UDP协议在发包的时候,都必须要得到一些通信参数,比如本机IP,本机MAC,目标IP,目标MAC,如果在缺失MAC地址的时候,就会自动调用ARP协议,ARP会去自动获取到对方的MAC地址,并填充回来。

image

ARP协议工作原理

ARP协议的目的:
根据IP地址,获取到机器的MAC地址。
因为IP地址和MAC地址是两个关键的通信参数,没有他俩就做不了。

为什么要找MAC:
IP和MAC都是用来定位机器的,
IP地址的主要作用是在跨越不同网络的情况下进行通信时对设备进行寻址,以便把数据包正确地发送到目标计算机。
IP地址是逻辑地址,用于在网络层寻址和路由选择。
IP地址可以分为公共IP地址和私有IP地址。私有IP地址是在局域网中使用的,只在局域网内部有效,用于在局域网中进行内部通信。

MAC地址在网络接口控制器(NIC)中预设,一般由设备制造商分配,具有全球唯一性。
在局域网中,设备之间的通信通常是通过MAC地址实现的,而不是通过IP地址。

下面将讲解ARP协议怎么能拿到对方MAC的过程,主要分为三个步骤:

  1. 广播找MAC过程
  2. 缓存IP、MAC过程
  3. 更新缓存过程

广播找MAC过程:
比如说你已经有一个目标IP地址了,你想找这个IP的MAC地址,那么ARP会这样做,它会向路由(或交换机)广播一条消息,上面主要填写自己机器的信息,和想要的信息:
image

  • 网络层: 目标IP 表示要找个这个IP的MAC地址;
  • 网络层: 目标MAC 00:00:00:00:00:00 表示要找这个机器的MAC地址,先用0占位;
  • 链路层: 目标MAC ff:ff:ff:ff:ff:ff 表示在数据链路层进行广播,查找这个目标IP的MAC;

局域网内的所有机器,都会收到这条消息。

缓存IP、MAC过程:
非目标机器收到这条消息,知道不是找它,直接丢弃。

当目标IP机器收到这条消息后,知道是在找他,他就给这个源IP和源MAC回复一条消息,说我的MAC是XXX,你备份一下吧。

源IP机器收到目标机器的MAC后,防止后期还要用到,又要去找,浪费时间,就在本地缓存一份。

所以每台主机都会缓存一份自己常用的IP和MAC地址表,类似下面的图:
image

更新缓存过程:
局域网内,IP地址是可以变更的,当有一台或多台机器的IP发送了改变,那么他们本地维护的缓存表不就没法使用了?或者就乱套了,想找张三,变成找到李四了。

解决:
在变更了自己的IP之后,那么他们就会在局域网内发送一个特殊ARP包,内容大致是说,我的IP地址变更了,MAC地址也附上,你们也把自己的缓存更新一下。然后局域网内的所有机器,都屁颠屁颠的跟着更新自己的缓存。

ARP攻击原理

更新缓存这个功能其实是个正常的功能,因为有些机器IP地址就是会经常变更,发个通告出来,让大家修改一下地址也没毛病。

问题就在于,有心怀不轨的攻击者,他就利用了这个不验证的就修改缓存的机制。攻击者也通过这个机制 进行他的攻击。

比如,他李四替换了张三的地址。更狠的,他直接把他自己主机地址和路由器的地址替换了,局域网内所有人的数据都往他机器上发了,他在转发出去,然后他就能截取别人的流量,别人的小秘密全被他知道了!

攻击软件

  • Ettercap
    image

    Ettercap的中间人攻击,在它的选项栏里有四种:ARP缓存投毒,ICMP重定向,端口监听,DHCP欺骗。

    Ettercap的功能是很强大,从它的插件就可以看到功能有:发现可疑ARP活动、ARP响应、DNS欺骗、Dos攻击、发现连接(交换环境)、发现Ettercap活动、列出子网未使用的IP、隔离主机、MAC泛洪、ssltrip等。

  • WireShark
    image

    网络流量截取、分析

防范

以下是一些防御ARP投毒攻击的方法:

  1. 使用静态ARP表项:
    在关键设备上配置静态ARP表项,避免动态ARP更新被恶意利用。

  2. 启用ARP检查:
    在交换机上启用ARP检查功能,过滤非法的ARP报文。

  3. 部署ARP防护软件:
    使用专门的ARP防护软件来监控和阻止可疑的ARP活动。

  4. 网络隔离:
    将网络划分为更小的广播域,限制ARP广播范围。

  5. 加强网络监控:
    实时监控网络流量,及时发现异常的ARP行为。

  6. 使用VPN:
    对重要通信使用VPN加密,防止ARP欺骗导致的数据泄露。

  7. 及时更新系统补丁:
    保持操作系统和网络设备固件的最新更新,修复已知漏洞。

  8. 教育用户:
    培训网络用户识别潜在的ARP攻击迹象。

  9. 使用安全协议:
    在可能的情况下,使用更安全的协议如IPv6来替代ARP (IPv6替换了ARP协议)。

  10. 定期安全审计:
    定期进行网络安全审计,检查ARP表和网络配置。

这些方法可以综合使用,以提高网络对ARP投毒攻击的防御能力。

Reference

一条视频讲清楚什么是ARP协议-ARP攻击
https://www.bilibili.com/video/BV16t4y1d7ev/

标签:ARP,缓存,攻击,IP,地址,投毒,MAC,IP地址
From: https://www.cnblogs.com/mysticbinary/p/18296411

相关文章

  • 如何防止物联网设备被黑客利用作为攻击跳板?
    物联网设备安全防护措施        为了防止物联网设备被黑客利用作为攻击跳板,可以采取以下综合性的安全措施:强化设备安全配置:定期更新设备固件和软件,设置复杂且唯一的密码,启用双因素认证,以减少安全漏洞和未授权访问的风险。网络隔离与访问控制:将物联网设备置于独立......
  • 呼叫中心遭遇UDP攻击,如何快速恢复服务?
    在数字化时代,呼叫中心作为企业与外界沟通的重要桥梁,其稳定运行至关重要。然而,当突然遭遇UDP(用户数据报协议)攻击时,那种措手不及的感觉仿佛被洪流淹没,服务中断、客户不满接踵而至。作为一名曾亲身经历者,我想分享一些实战经验,帮助你快速恢复服务,并有效应对UDP攻击的威胁。惊魂一......
  • 在unity中被攻击时无敌的设置
    publicclassInvincible:MonoBehaviour {publicSpriteRendererrender; publicColornormalColor; publicColorflashColor; publicintduration; publicboolisInvincible;publicIEnumeratorSetInvincibility(){  isInvincible=true;  for......
  • 远程线程注入的英文全称是 Remote Thread Injection,简称通常是 RTI。远程线程注入是一
    远程线程注入的英文全称是RemoteThreadInjection,简称通常是RTI。远程线程注入(RemoteThreadInjection)是一种利用操作系统的特性,在一个进程的上下文中执行代码的技术。它通常涉及以下基本步骤和原理:获取目标进程句柄:首先,注入进程需要获取目标进程的句柄(handle),这可以通过......
  • 23、Django-CSRF跨站伪造请求攻击
     配置:1、在settings.py中确认MIDDLEWARE中确保--django.middleware.csrf.CsrfViewMiddleware打开2、在模板中、form标签下添加如下标签:--{%csrf_token%}#这个就是页面中的暗号 案例views.py-------------------------------------------------......
  • 躲过了地沟油,还是没躲过工业油 —— 一车混装油“投毒”10万人!透视4000万吨食用油产业
    原文地址:https://baijiahao.baidu.com/s?id=1804095661359226790&wfr=spider&for=pc截取重点内容:值得注意的是,此次事件“国家队”中储粮和600亿民营粮油巨头汇福粮油牵扯其中。公开资料显示,中储粮旗下的食用油品牌包括金鼎、鼎皇、华鼎、汉鼎、淳口香和聚味美等。汇福粮油有......
  • 震惊全球大事件 —— 中国的混装油全民投毒事件
    中国的混装油全民投毒事件ChatGPT“中国的混装油全民投毒事件”指的是中国食用油市场中存在的一个严重的食品安全问题。这种问题主要涉及某些商家将劣质、变质、甚至有毒的油掺入食用油中,并以低价出售,严重威胁了公众的健康。事件的关键点包括:劣质油来源:这些劣质油可能来自于......
  • 暑期课程学一学XSS攻击,以及开源项目
    XSS存储型本文主要是使用vulstudy直接搭建的漏洞环境,是其中的DVWA。然后随手记一个反弹shell的工具反弹shell工具。原理存储型XSS,也叫持久型XSS,主要是将XSS代码发送到服务器(不管是数据库、内存还是文件系统等。),然后在下次请求页面的时候就不用带上XSS代码了。最典型的就是留言......
  • 生产实习--启明星辰 第四天(Web网络安全基础知识,sql注入,xss攻击,csrf与ssrf,xxe攻击,未授
    web安全的基础知识基本定义Web安全,也称为网络安全或在线安全,是指保护网站、网页和Web服务免受各种威胁和攻击的技术和实践。这些威胁可能来自恶意软件、网络攻击、数据泄露、身份盗窃、服务中断等。Web安全的目标是确保Web应用程序和用户数据的安全、完整和可用性。一般流程......
  • 生产实习--启明星辰 第四天(实操关于CC攻击以及查看摄像头)
    CC攻击原理:CC(ChallengeCollapsar,挑战黑洞)攻击是DDoS攻击的一种类型,使用代理服务器向受害服务器发送大量貌似合法的请求。环境:KaliLinux,siege工具具体步骤:首先,我们打开虚拟机kalilinux,打开命令行,输入aptinstallsiege下载我们所需要的工具。之后利用命令:siege-c并......