網關欺騙

傳送ARP欺騙包是通過一個惡毒的程式自動傳送的,正常的TCP/IP網路是不會有這樣的錯誤包傳送的,也就是說當黑客沒有運行這個惡毒程式的話,網路上通信應該是一切正常的,保留在各個連線網路計算機上的ARP快取表也應該是正確的,只有程式啟動開始傳送錯誤ARP信息以及ARP欺騙包時才會讓某些計算機訪問網路出現問題。

基本介紹

  • 中文名:網關欺騙
  • 含義:一個惡毒的程式自動傳送
  • 目的:出現問題
  • ARP協定:Address Resolution Protocol
ARP協定簡介,ARP欺騙的原理,ARP欺騙的危害,

ARP協定簡介

ARP網關欺騙原理:
一.什麼是ARP協定?
ARP協定是“Address Resolution Protocol”(地址解析協定)的縮寫。在區域網路中,網路中實際傳輸的是“幀”,幀裡面是有目標主機的MAC地址的。在乙太網中,一個主機要和另一個主機進行直接通信,必須要知道目標主機的MAC地址。但這個目標MAC地址是如何獲得的呢?它就是通過地址解析協定獲得的。所謂“地址解析”就是主機在傳送幀前將目標IP位址轉換成目標MAC地址的過程。ARP協定的基本功能就是通過目標設備的IP位址,查詢目標設備的MAC地址,以保證通信的順利進行。所以說從某種意義上講ARP協定是工作在更低於IP協定的協定層。這也是為什麼ARP欺騙更能夠讓人在神不知鬼不覺的情況下出現網路故障,他的危害更加隱蔽。

ARP欺騙的原理

二.ARP欺騙的原理:
首先我們可以肯定一點的就是傳送ARP欺騙包是通過一個惡毒的程式自動傳送的,正常的TCP/IP網路是不會有這樣的錯誤包傳送的,而人工傳送又比較麻煩。也就是說當黑客沒有運行這個惡毒程式的話,網路上通信應該是一切正常的,保留在各個連線網路計算機上的ARP快取表也應該是正確的,只有程式啟動開始傳送錯誤ARP信息以及ARP欺騙包時才會讓某些計算機訪問網路出現問題。接下來我們來闡述下ARP欺騙的原理。
第一步:假設這樣一個網路,一個Hub交換機連線了3台機器,依次是計算機A,B,C。
A的地址為:IP:192.168.1.1 MAC: AA-AA-AA-AA-AA-AA
B的地址為:IP:192.168.1.2 MAC: BB-BB-BB-BB-BB-BB
C的地址為:IP:192.168.1.3 MAC: CC-CC-CC-CC-CC-CC
第二步:正常情況下在A計算機上運行ARP -A查詢ARP快取表應該出現如下信息。
Interface: 192.168.1.1 on Interface 0x1000003
Internet Address Physical Address Type
192.168.1.3 CC-CC-CC-CC-CC-CC dynamic
第三步:在計算機B上運行ARP欺騙程式,來傳送ARP欺騙包。
B向A傳送一個自己偽造的ARP應答,而這個應答中的數據為傳送方IP位址是192.168.1.3(C的IP位址),MAC地址是DD-DD-DD-DD-DD-DD(C的MAC地址本來應該是CC-CC-CC-CC-CC-CC,這裡被偽造了)。當A接收到B偽造的ARP應答,就會更新本地的ARP快取(A可不知道被偽造了)。而且A不知道其實是從B傳送過來的,A這裡只有192.168.1.3(C的IP位址)和無效的DD-DD-DD-DD-DD-DD mac地址
第四步:欺騙完畢我們在A計算機上運行ARP -A來查詢ARP快取信息。你會發現原來正確的信息現在已經出現了錯誤。
Interface: 192.168.1.1 on Interface 0x1000003
Internet Address Physical Address Type
192.168.1.3 DD-DD-DD-DD-DD-DD dynamic
從上面的介紹我們可以清楚的明白原來網路中傳輸數據包最後都是要根據MAC地址信息的,也就是說雖然我們日常通訊都是通過IP位址,但是最後還是需要通過ARP協定進行地址轉換,將IP位址變為MAC地址。而上面例子中在計算機A上的關於計算機C的MAC地址已經錯誤了,所以即使以後從A計算機訪問C計算機這個192.168.1.3這個地址也會被ARP協定錯誤的解析成MAC地址為DD-DD-DD-DD-DD-DD的。
問題也會隨著ARP欺騙包針對網關而變本加厲,當區域網路中一台機器,反覆向其他機器,特別是向網關,傳送這樣無效假冒的ARP應答信息包時,嚴重的網路堵塞就會開始。由於網關MAC地址錯誤,所以從網路中計算機發來的數據無法正常發到網關,自然無法正常上網。這就造成了無法訪問外網的問題,另外由於很多時候網關還控制著我們的區域網路LAN上網,所以這時我們的LAN訪問也就出現問題了。

ARP欺騙的危害

三.ARP欺騙的危害:
前面也提到了ARP欺騙可以造成內部網路的混亂,讓某些被欺騙的計算機無法正常訪問內外網,讓網關無法和客戶端正常通信。實際上他的危害還不僅僅如此,一般來說IP位址的衝突我們可以通過多種方法和手段來避免,而ARP協定工作在更低層,隱蔽性更高。系統並不會判斷ARP快取的正確與否,無法像IP位址衝突那樣給出提示。而且很多黑客工具例如網路剪刀手等,可以隨時傳送ARP欺騙數據包和ARP恢複數據包,這樣就可以實現在一台普通計算機上通過傳送ARP數據包的方法來控制網路中任何一台計算機的上網與否,甚至還可以直接對網關進行攻擊,讓所有連線網路的計算機都無法正常上網。這點在以前是不可能的,因為普通計算機沒有管理許可權來控制網關,而現在卻成為可能,所以說ARP欺騙的危害是巨大的,而且非常難對付,非法用戶和惡意用戶可以隨時傳送ARP欺騙和恢複數據包,這樣就增加了網路管理員查找真兇的難度。

相關詞條

熱門詞條

聯絡我們