什么是ARP攻击?
ARP攻击是利用ARP协议设计时缺乏安全验证漏洞来实现的,通过伪造ARP数据包来窃取合法用户的通信数据,造成影响网络传输速率和盗取用户隐私信息等严重危害。
ARP攻击原理
ARP病毒及木马程序利用ARP的安全缺陷实现对网络的攻击。
ARP攻击原理
网络中有A、B、C三台主机,主机A与主机B正常通信,主机C进入网络,开始实施ARP欺骗。首先,主机C给主机A发一个ARP应答报文,报文显示主机B的IP地址映射主机C的MAC,主机A收到这个报文,更新自己的ARP缓存表,修改主机B的IP地址对应的MAC。这样,其后主机A发往主机B的数据包均会发给主机C。如果主机C不转发该数据包到主机B,则主机B认为与主机A的通信发生故障,而主机A无法察觉。如果主机C转发数据包到主机B,则主机B与主机A之间的通信不受影响,仅仅是主机C监听到主机A到主机B的数据包。
同理,主机C发ARP应答报文欺骗主机B,则主机B发往主机A的数据包被主机C监听。
ARP攻击类型
根据ARP攻击的危害,可分为欺骗型和破坏型两类。实际网络中欺骗型攻击有三种:
- 一种是局域网主机冒充网关欺骗网内主机,导致主机访问网关的数据包均发往欺骗主机,局域网内主机无法正常上网。
- 另一种是欺骗网关,修改网关的ARP表项,导致网关到主机的数据包无法到达正确主机。
- 第三种是主机对主机的欺骗,导致正常主机之间通信中断。
攻击者冒充网关欺骗主机,使用户正常发往网关的数据流发至攻击者,导致用户无法访问外部网络。
冒充网关欺骗用户
攻击者冒充普通用户欺骗网关,使网关到用户的数据流无法到达正确用户。
冒充用户欺骗网关
攻击者冒充用户欺骗用户,使正常用户之间通信中断。
冒充用户欺骗用户
破坏型攻击也称为ARP泛洪攻击。攻击者伪造大量虚假ARP报文,对局域网内所有主机和网关进行广播,干扰正常通信。
ARP泛洪攻击
防御技术
1.主机级被动检测
当系统接收到来自局域网上的ARP请求时,系统检查该请求发送端的IP地址是否与自己的IP地址相同。如果相同,则说明该网络上另有一台机器与自己具有相同的IP地址。
2.主机级主动检测
主机定期向所在局域网发送查询自己IP地址的ARP请求报文。如果能够收到另一ARP响应报文,则说明该网络上另
有一台机器与自己具有相同的IP地址。
3.服务器级检测
当服务器收到ARP响应时,为了证实它的真实性,根据反向地址解析协议(RARP)就用从响应报文中给出的MAC地址再生成一个RARP请求,它询问这样一个问题:“如果你是这个MAC地址的拥有者,请回答你的IP地址”。这样就会查询到这个MAC地址对应的IP地址,比较这两个IP地址,如果不同,则说明对方伪造了ARP响应报文。
4.网络级检测
配置主机定期向中心管理主机报告其ARP缓存的内容。这样中心管理主机上的程序就会查找出两台主机报告信息的不一致,以及同一台主机前后报告内容的变化。这些情况反映了潜在的安全问题。或者利用网络嗅探工具连续监测网络内主机硬件地址与IP地址对应关系的变化。
上一篇:
下篇预告:「网络安全」常见攻击篇(24)——泪滴攻击 敬请关注
閱讀更多 成長點滴 的文章
