|
|
|
|
|
(1)通信模式:请求→请求→请求→请求→请求→请求→应答→请求→请求→请求……
|
|
|
|
(2)描述:网络中出现大量的ARP请求广播包,几乎都是对网段内的所有主机进行扫描。大量的ARP请求广播可能会占用网络带宽资源;ARP扫描一般为ARP攻击的前奏。
|
|
|
|
|
|
|
|
ARP协议并不只在发送了ARP请求后才接收ARP应答。当计算机接收到ARP应答数据包的时候,就会对本地的ARP缓存进行更新,将应答中的IP和MAC地址存储在ARP缓存中。所以在网络中,如果有人发送一个自己伪造的ARP应答,网络可能就会出现问题。
|
|
|
|
假设一个网络环境中,网内有三台主机,分别为主机A、B、C。
|
|
|
|
|
|
A的地址为:IP地址是192.168.10.1,MAC地址是AA-AA-AA-AA-AA-AA。
|
|
|
|
B的地址为:IP地址是192.168.10.2,MAC地址是BB-BB-BB-BB-BB-BB。
|
|
|
|
C的地址为:IP地址是192.168.10.3,MAC地址是CC-CC-CC-CC-CC-CC。
|
|
|
|
正常情况下A和C之间进行通信,但是此时B向A发送一个自己伪造的ARP应答,而这个应答中的数据为"发送方IP地址是192.168.10.3(C的IP地址),MAC地址是BB-BB-BB-BB-BB-BB(C的MAC地址本来应该是CC-CC-CC-CC-CC-CC,这里被伪造了)"。当A接收到B伪造的ARP应答,就会更新本地的ARP缓存(A被欺骗了),这时B就伪装成C了。同时,B同样向C发送一个ARP应答,应答包中发送方IP地址是192.168.10.1(A的IP地址),MAC地址是BB-BB-BB-BB-BB-BB(A的MAC地址本来应该是AA-AA-AA-AA-AA-AA),当C收到B伪造的ARP应答,也会更新本地ARP缓存(C也被欺骗了),这时B就伪装成了A。这样主机A和C都被主机B欺骗,A和C之间通信的数据都经过了B。主机B完全可以知道它们之间说的什么。这就是典型的ARP欺骗过程。
|
|
|
|
ARP欺骗存在两种情况:一种是欺骗主机作为"中间人",被欺骗主机的数据都经过它中转一次,这样欺骗主机可以窃取到被它欺骗的主机之间的通信数据;另一种是让被欺骗主机直接断网。
|
|
|
|
|
|
①通信模式:应答→应答→应答→应答→应答→请求→应答→应答→请求→应答……
|
|
|
|
②描述:这种情况就属于上面所说的典型的ARP欺骗,欺骗主机向被欺骗主机发送大量伪造的ARP应答包进行欺骗,当通信双方被欺骗成功后,自己成为一个"中间人"。此时被欺骗的主机双方还能正常通信,只不过在通信过程中被欺骗者"窃听"了。
|
|
|
|
|
|
|
|
①通信模式:应答→应答→应答→应答→应答→应答→请求……
|
|
|
|
②描述:这类情况就是在ARP欺骗过程中,欺骗者只欺骗了其中一方,如B欺骗了A,但是同时B没有对C进行欺骗,这样A实质上是在和B通信,所以A就不能和C通信了,另外一种情况就是欺骗者还可能伪造一个不存在的地址进行欺骗。
|
|
|
|
③出现原因:木马病毒、人为破坏和一些网管软件的控制功能。
|
|
|
