什麼是ARP攻擊?
ARP攻擊是利用ARP協議設計時缺乏安全驗證漏洞來實現的,通過偽造ARP數據包來竊取合法用戶的通信數據,造成影響網絡傳輸速率和盜取用戶隱私信息等嚴重危害。
ARP攻擊原理
ARP病毒及木馬程序利用ARP的安全缺陷實現對網絡的攻擊。
ARP攻擊原理
網絡中有A、B、C三臺主機,主機A與主機B正常通信,主機C進入網絡,開始實施ARP欺騙。首先,主機C給主機A發一個ARP應答報文,報文顯示主機B的IP地址映射主機C的MAC,主機A收到這個報文,更新自己的ARP緩存表,修改主機B的IP地址對應的MAC。這樣,其後主機A發往主機B的數據包均會發給主機C。如果主機C不轉發該數據包到主機B,則主機B認為與主機A的通信發生故障,而主機A無法察覺。如果主機C轉發數據包到主機B,則主機B與主機A之間的通信不受影響,僅僅是主機C監聽到主機A到主機B的數據包。
同理,主機C發ARP應答報文欺騙主機B,則主機B發往主機A的數據包被主機C監聽。
ARP攻擊類型
根據ARP攻擊的危害,可分為欺騙型和破壞型兩類。實際網絡中欺騙型攻擊有三種:
- 一種是局域網主機冒充網關欺騙網內主機,導致主機訪問網關的數據包均發往欺騙主機,局域網內主機無法正常上網。
- 另一種是欺騙網關,修改網關的ARP表項,導致網關到主機的數據包無法到達正確主機。
- 第三種是主機對主機的欺騙,導致正常主機之間通信中斷。
攻擊者冒充網關欺騙主機,使用戶正常發往網關的數據流發至攻擊者,導致用戶無法訪問外部網絡。
冒充網關欺騙用戶
攻擊者冒充普通用戶欺騙網關,使網關到用戶的數據流無法到達正確用戶。
冒充用戶欺騙網關
攻擊者冒充用戶欺騙用戶,使正常用戶之間通信中斷。
冒充用戶欺騙用戶
破壞型攻擊也稱為ARP泛洪攻擊。攻擊者偽造大量虛假ARP報文,對局域網內所有主機和網關進行廣播,干擾正常通信。
ARP泛洪攻擊
防禦技術
1.主機級被動檢測
當系統接收到來自局域網上的ARP請求時,系統檢查該請求發送端的IP地址是否與自己的IP地址相同。如果相同,則說明該網絡上另有一臺機器與自己具有相同的IP地址。
2.主機級主動檢測
主機定期向所在局域網發送查詢自己IP地址的ARP請求報文。如果能夠收到另一ARP響應報文,則說明該網絡上另
有一臺機器與自己具有相同的IP地址。
3.服務器級檢測
當服務器收到ARP響應時,為了證實它的真實性,根據反向地址解析協議(RARP)就用從響應報文中給出的MAC地址再生成一個RARP請求,它詢問這樣一個問題:“如果你是這個MAC地址的擁有者,請回答你的IP地址”。這樣就會查詢到這個MAC地址對應的IP地址,比較這兩個IP地址,如果不同,則說明對方偽造了ARP響應報文。
4.網絡級檢測
配置主機定期向中心管理主機報告其ARP緩存的內容。這樣中心管理主機上的程序就會查找出兩臺主機報告信息的不一致,以及同一臺主機前後報告內容的變化。這些情況反映了潛在的安全問題。或者利用網絡嗅探工具連續監測網絡內主機硬件地址與IP地址對應關係的變化。
上一篇:
下篇預告:「網絡安全」常見攻擊篇(24)——淚滴攻擊 敬請關注
閱讀更多 成長點滴 的文章
