arp欺騙的原理是什麽
ARP欺騙的原理就是把自己的MAC地址偽造成網關的地址來欺騙其它的主機。
壹般情況下,ARP欺騙並不是使網絡無法正常通信,而是通過冒充網關或其他主機使得到達網關或主機的數據流通過攻擊主機進行轉發。通過轉發流量可以對流量進行控制和查看,從而控制流量或得到機密信息。
當主機A和主機B之間通信時,如果主機A在自己的ARP緩存表中沒有找到主機B的MAC地址時,主機A將會向整個局域網中所有計算機發送ARP廣播,廣播後整個局域網中的計算機都收到了該數據。
ARP是地址解析協議,是壹種通過IP地址查找對應物理地址的協議。某機器A要向主機B發送報文,會查詢本地的ARP緩存表,找到B的IP地址對應的MAC地址後,就會進行數據傳輸。如果未找到,則A廣播壹個ARP請求報文(攜帶主機A的IP地址Ia——物理地址Pa),請求IP地址為Ib的主機B回答他的物理地址Pb是多少。
網絡上所有主機包括B都收到這份ARP請求,但只有主機B識別到是自己的IP地址,於是向A主機發回壹個ARP響應報文,其中就包含有B的MAC地址Pb。A接收到B的應答後,就會更新本地的ARP緩存,接著使用這個MAC地址發送數據(由網卡封裝這個MAC地址)。
單向ARP欺騙:當主機A再次與主機B通信時,該數據將被轉發到攻擊主機(主機C)上,則該數據流會經過主機C轉發到主機B。
雙向ARP欺騙:A要跟C正常通訊,B向A說我是才C。B向C說我才是A,那麽這樣的情況下把A跟C的ARP緩存表全部修改了。以後通訊過程就是 A把數據發送給B,B在發送給C,C把數據發送B,B在把數據給A。
攻擊主機發送ARP應答包給被攻擊主機和網關,它們分別修改其ARP緩存表, 修改的全是攻擊主機的MAC地址,這樣它們之間數據都被攻擊主機截獲。
防範ARP欺騙
只要在寬帶路由器中把所有PC的IP-MAC輸入到壹個靜態表中,這叫路由器IP-MAC綁定,就可以保證路由器不被欺騙。在內網所有PC上設置網關的靜態ARP信息,在PC上進行IP-MAC綁定,就可以保證PC不被欺騙。如果兩個工作同時做的話,稱其為IP-MAC雙向綁定,雙向綁定是目前最有效的方式。
並不是所有的內網上網故障都是由ARP欺騙病毒引起的,很多網絡管理人員動不動就拿ARP欺騙病毒說事,希望本文可以幫助網管快速定位故障,不要以為ARP欺騙病毒是內網故障的締造者,要知道其他病毒,黑客入侵,驅動故障等問題也會造成內網上網故障,在故障排除時我們還是要保持壹份平常冷靜的心。