arp欺骗(理论)

ARP(地址解析协议)在IPv4和以太网的广泛应用,其主要用作将IP地址翻译为以太网的MAC地址。

一、ARP通讯协议过程

局域网的通信不是根据IP地址进行,计算机是根据mac地址来识别一台机器。

每个计算机中都有路由表可在cmd输入arp-a进行查看,区域网内主机A要向主机B发送报文,会查询本地的ARP缓存表,找到B的IP地址对应的MAC地址后,就会进行数据传输。如果未找到,则A广播一个ARP请求报文(携带主机B的IP地址),网上所有主机包括B都收到ARP请求,但只有主机B识别自己的IP地址,于是向A主机发回一个ARP响应报文。其中就包含有B的MAC地址,A接收到B的应答后,就会更新本地的ARP缓存。

ARP 欺骗非为双向欺骗和单向欺骗一下详细说明:

1.单向欺骗

A的地址为:IP:10.0.0.1 MAC: AA-AA-AA-AA-AA-AA

B的地址为:IP:10.0.0.2 MAC: BB-BB-BB-BB-BB-BB

C的地址为:IP:10.0.0.3 MAC: CC-CC-CC-CC-CC-CC

A和C之间进行通讯.但是此时B向A发送一个自己伪造的ARP应答,而这个应答中的数据为发送方IP地址是10.0.0.3C的IP地址,MAC地址是BB-BB-BB-BB-BB-BBC的MAC地址本来应该是CC-CC-CC-CC-CC-CC,这里被伪造了。当A接收到B伪造的ARP应答,就会更新本地的ARP缓存(A被欺骗了),这时B就伪装成C了。同时,B同样向C发送一个ARP应答,应答包中发送方IP地址四10.0.0.1A的IP地址,MAC地址是BB-BB-BB-BB-BB-BBA的MAC地址本来应该是AA-AA-AA-AA-AA-AA,当C收到B伪造的ARP应答,也会更新本地ARP缓存(C也被欺骗了),这时B就伪装成了A。这样主机A和C都被主机B欺骗,A和C之间通讯的数据都经过了B。主机B完全可以知道他们之间说的什么。这就是典型的ARP欺骗过程。

掐断A 与 c的通讯,实现原理:b 向A 发送一条ARP 数据包,内容为:c的地址是00:00:00:00:00:00 (一个错误的地址),那么A 此后向c发的数据包都会发到00,而这个地址是错误的,所以通讯中断了,但是要注意了,这里只是A --> c 中断了,c --> A 没有中断,所以这个叫单向欺骗。

掐断c与A 的通讯,实现原理和第一条一样,如果和第一条一起发,那么A 和c 的通讯就完全中断了,即:A <-- ×--> c.

嗅探A 与c 的通讯,实现原理:b 向A 发送一条ARP 数据包,内容为:c的地址是AA:BB:CC:DD:EE:FF (b自己的地址),也就是说,b 对 A 说:我才是c,于是A 把向c发送的数据都发给b 了,b得到数据后就可以为所欲为了,可以直接丢弃,那么通讯中断,也可以再次转发给c,那么又形成回路,B当了个中间人,监视A 和c 的通讯.此时你就可以用CAIN等任何抓包工具进行本地嗅探了.

2.ARP双向欺骗原理

A要跟C正常通讯,B向A说我是才C。B向C说我才是A,那么这样的情况下把A跟C的ARP缓存表全部修改了。以后通讯过程就是 A把数据发送给B,B在发送给C,C把数据发送B,B在把数据给A。

攻击主机发送ARP应答包给被攻击主机和网关,它们分别修改其ARP缓存表为, 修改的全是攻击主机的MAC地址,这样它们之间数据都被攻击主机截获。

三、双向欺骗与单向欺骗的区别

单向欺骗:是指欺骗网关,分别有三个机器 A(网关) B(server) C(server) 。A要跟C正常通讯。B给A说我才是C,那么A就把数据就给C了,此时A就把原本给C的数据给了B了,A修改了本地的缓存表,但是C跟A的通讯还是正常的。只是A跟C的通讯不正常。

双向欺骗:是欺骗网关跟被攻击的两个机器,A(网关) B(server) C(server),A要跟C正常通讯.B对A说我是C,B对C说我是A,那么这样的情况下A跟C的ARP缓存表全部修改了,发送的数据全部发送到B那里去了。

四、防护办法

最常用的方法就是做双绑定, 本地跟路由都做了mac地址绑定

原文地址:https://www.cnblogs.com/hatkids/p/8973471.html

时间: 2024-10-11 10:40:33

arp欺骗(理论)的相关文章

[c#]记一次实验室局域网的ARP欺骗

起因 某天中午午睡时,笔者被激烈的键盘和鼠标声音吵醒,发现实验室的同学在那边忘我地打LOL,顿觉不爽,于是决定整他一下.想了一下之后觉得就让他掉线一下作为惩罚好了.结合以往的理论知识,大家在同一个局域网中,用ARP欺骗显然是一个好办法,于是就有了本文接下来的故事. ARP欺骗理论 首先先来整理一下关于ARP欺骗的理论知识.ARP欺骗[1](英语:ARP spoofing),又称ARP病毒(ARP poisoning)或ARP攻击,是针对以太网地址解析协议(ARP)的一种攻击技术.此种攻击可让攻击

Arp协议和Arp欺骗

地址解析协议, 即ARP(AddressResolution Protocol),是根据IP地址获取物理地址的一个TCP/IP协议.主机发送信息时将包含目标IP地址的ARP请求广播到网络上的所有主机,并接收返回消息,以此确定目标的物理地址: ARP欺骗 攻击者就可以向某一主机发送伪ARP应答报文,使其发送的信息无法到达预期的主机或到达错误的主机,这就构成了一个ARP欺骗. 1.假冒ARP reply包(单播) XXX,Ihave IP YYY and my MAC is ZZZ! 2.假冒ARP

arp欺骗实验报告

实验目的 了解常用黑客技术arp欺骗,并学习如何防范arp欺骗. 实验步骤 1.进入kali-linux的虚拟机设置好本地的ip及网关,然后进入命令界面.使用如下命令 arpspoof -i eth0 -t 你想欺骗的主机ip 本地网关 2.设置是否转发你所欺骗的电脑的请求 echo 1 > /proc/sys/net/ipv4/ip_forward 设置为1是转发,为0是不转发. 3.另开一个命令界面,再使用命令 arpspoof -i eth0 -t 本地网关 你想欺骗的主机ip 4.使用命

arp欺骗

arp欺骗分为两种,一种是对路由器的欺骗,一种是对内网pc的网关欺骗 第一种的原理是截获网关数据.它通知路由器一系列错误的内网MAC地址,并按照一定的频率不断进行,使真实的地址信息无法通过更新保存在路由器中,结果路由器的所有数据只能发送给错误的MAC地址 第二种ARP欺骗的原理是--伪造网关.它的原理是建立假网关,让被它欺骗的PC向假网关发数据,而不是通过正常的路由器途径上网. 第二种欺骗的代码有 echo 1 > /proc/sys/net/ipv4/ip_forward -- 1是指替被欺骗

利用arpspoof实现ARP欺骗攻击

[实验目的]: 了解ARP欺骗原理,掌握ARP欺骗的方法及预防ARP攻击的方法. [ARP协议原理]: 我们以主机A向主机B发送数据为例.当发送数据时,主机A会在自己的ARP缓存表中寻找是否有目标IP地址.如果找到了,也就知道了目标MAC地址,直接把目标MAC地址写入帧里面发送就可以了:如果在ARP缓存表中没有找到相对应的IP地址,主机A就会在网络上发送一个广播,目标MAC地址是"FF.FF.FF.FF.FF.FF",这表示向同一网段内的所有主机发出这样的询问:"主机B的MA

arp欺骗进行流量截获-2

上一篇讲了原理,那么这一篇主要讲如何实现.基本上也就是实现上面的两个步骤,这里基于gopacket实现,我会带着大家一步步详细把每个步骤都讲到. ARP 欺骗 首先就是伪造ARP请求,让A和B把数据包发到我这里来. 利用gopacket 发送一个ARP请求,下面是一个实现函数,可以用来发送一个指定ip地址和mac地址的arp请求. //send a arp reply from srcIp to dstIPfunc SendAFakeArpRequest(handle *pcap.Handle,

arp欺骗进行流量截获-1

这边博文主要讲一下怎么使用arp欺骗进行流量截获,主要用于已经攻入内网以后,进行流量监听以及修改. 一.什么是arp ????arp协议是以太网的基础工作协议,其主要作用是是一种将IP地址转化成物理地址的协议,在以太网上进行通信的时候并不直接使用ip地址作为主机标识,而是使用MAC地址,也就是物理地址. ????某机器A要向主机B发送报文,会查询本地的ARP缓存表,找到B的IP地址对应的MAC地址后,就会进行数据传输.如果未找到,则A广播一个ARP请求报文(携带主机A的IP地址Ia--物理地址P

【实战】内网杀手ARP欺骗--X-spoof

X-spoof是一款优秀的内网嗅探工具,和其他嗅探工具如Cain等相比,在DOS下即可执行是它很大的一个优点,是我们入侵嗅探时所需要的.今天内网监听的时候用到了它,却发现找不到,于是在51CTO下载了它,顺便在baidu搜索了它的用途,几乎都是一模一样的,还不如作者的readme.txt来得实在.于是决定从头到尾给大家说说它在入侵中有什么用. 下载地址:上传以后审核呢,过了就补充过来----------- 一,运行X-spoof需要winpcap和npptools,已经帮大家写好了注册bat,下

对一次ARP欺骗分析

一次ARP欺骗 一.   实验目的: 学习使用科来数据包生成器构造一个数据包 通过一次ARP实验,分析ARP报文格式 二.  实验内容: 通过科来数据包生成器在A主机上伪造一个arp数据包,并发送出去,将B主机的网关Mac地址的缓存修改为A的Mac地址. 三.  实验用到的工具 Wireshark.科来数据包生成器.若是在win7.8上还需要科来数据包播放器来发包(科来数据包生成器在win7.8上无法使用发包功能) 四.  实验平台 本次实验我是在虚拟机里面做的,xp系统是我装有数据包生成器的攻