本文作者:qiaoqingyi

公寓网络技术总结(工业控制网络技术课程总结)

qiaoqingyi 2023-10-24 94

  黑客基础:ARP攻击第一章

  举个例子:

ARP攻击,如何防御?

  1.公寓局域网(整栋楼使用一个服务器,全部宿舍端口为动态IP)出现断网现象,表现为时不时断网,偶尔能打开百度首页……经考证,有时隔壁的隔壁同事的360提示受到ARP攻击,防御无效。

2.双人宿舍,为方便手机上网,用路由器接到局域网,路由设置为自动动态获取局域网IP。求助:本宿舍个人电脑(win7/8)(不涉及服务器层面)能否防御?有没有简单的防御软件,比如靠谱方便的ARP防火墙或杀毒软件?

  一、ARP概述如果要在TCP/IP协议栈中选择一个"最不安全的协议",那么我会毫不犹豫把票投给ARP协议。我们经常听到的这些术语,包括"网络扫描"、"内网渗透"、"中间人拦截"、"局域网流控"、"流量欺骗",基本都跟ARP脱不了干系。大量的安全工具,例如大名鼎鼎的Cain、功能完备的Ettercap、操作傻瓜式的P2P终结者,底层都要基于ARP实现。 听上去这么"逆天"的协议,其实技术原理又简单的难以置信,例如ARP整个完整交互过程仅需要两个包,一问一答即可搞定!

  但是ARP协议也有它令初学者迷惑的地方,例如由它本身延伸出来的"代理ARP"、"免费ARP"、"翻转ARP"、"逆向ARP",而这些不同种类的ARP,又应用于不同的场景。

  我觉得在pc角度防御arp攻击.是比较无力的.正常arp欺骗应该在路由或者三层交换上做防御.在pc上你可以绑定网关的ip和mac.但是你不能阻止攻击者持续发送arp包.刷新你在网关上的arp缓存.这里又可能会说arp防火墙也会持续发送arp包给网关呢?但是一般arp防火墙发包速率是1s/packet.如果攻击者超高速发送arp包仍然可以达到攻击效果.

  好吧,在深入到技术原理之前,作为初学者,我们先记住下面三句话:

公寓网络技术总结(工业控制网络技术课程总结)

  ①ARP(Address Resolution Protocol)即地址解析协议, 用于实现从 IP 地址到 MAC 地址的映射,即询问目标IP对应的MAC地址。

  ②在网络通信中,主机和主机通信的数据包需要依据OSI模型从上到下进行数据封装,当数据封装完整后,再向外发出。所以在局域网的通信中,不仅需要源目IP地址的封装,也需要源目MAC的封装。

  ③一般情况下,上层应用程序更多关心IP地址而不关心MAC地址,所以需要通过ARP协议来获知目的主机的MAC地址,完成数据封装。 接下来,我们通过图解的方式来深入了解ARP协议是如何工作的。二、ARP原理之请求应答同一个局域网里面,当PC1需要跟PC2进行通信时,此时PC1是如何处理的?

  根据OSI数据封装顺序,发送方会自顶向下(从应用层到物理层)封装数据,然后发送出去,这里以PC1 ping PC2的过程举例==

  PC1封装数据并且对外发送数据时,上图中出现了"failed",即数据封装失败了,为什么?我们给PC1指令-"ping ip2",这就告知了目的IP,此时PC1便有了通信需要的源目IP地址,但是PC1仍然没有通信需要的目的MAC地址。这就好比我们要寄一个快递,如果在快递单上仅仅写了收件人的姓名(IP),却没有写收件人的地址(MAC),那么这个快递就没法寄出,因为信息不完整。 那么,现在PC1已经有了PC2的IP地址信息,如何获取到PC2的MAC地址呢?此时,ARP协议就派上用场了。我们接着上面这张图,继续==

  通过第三和第四步骤,我们看到PC1和PC2进行了一次ARP请求和回复过程,通过这个交互工程,PC1便具备了PC2的MAC地址信息。接下来PC1会怎么做呢?在真正进行通信之前,PC1还会将PC2的MAC信息放入本地的【ARP缓存表】,表里面放置了IP和MAC地址的映射信息,例如 IP2MAC2。接下来,PC1再次进行数据封装,正式进入PING通信,如下==

  小结:经过上面6个步骤的处理,PC1终于把数据包发送出去了,之后便可以进行正常的通信了。看到了吧,ARP的功能和实现过程是如此的简单:它在发送方需要目标MAC地址的时及时出手,通过"一问一答"的方式获取到特定IP对应的MAC地址,然后存储到本地【ARP缓存表】,后续需要的话,就到这里查找。既然是"缓存"表,意味着它有时效性,并且如果电脑或者通信设备重启的话,这张表就会清空;也就是说,如果下次需要通信,又需要进行ARP请求。在我们的windows/macos系统下,可以通过命令行"arp -a"查看具体信息=

  三、ARP原理之广播请求单播回应上面的图解过程看上去简单又纯粹,好像我们就已经把这个协议的精髓全部get到,但其实,我们只是刚揭开了它的面纱,接下来我们才真正进入正题。例如,上面的图解过程中,整个局域网(LAN)只有PC1和PC2两个主机,所以这个一问一答过程非常的顺畅。而实际网络中,这个LAN可能有几十上百的主机,那么请问,PC1如何将这个【中国黑客协会创始人花无涯】顺利的交给PC2,而PC2又如何顺利的把【ARP回应包】返回给PC1? 我们看下面的图:

  为了营造出"几十上百"的效果,这里多添加了2个主机进来 ( ω ),并且增加了有线和无线的环境。那么,在多主机环境下,PC1现在发出的ARP请求包,怎么交到PC2手里?这时,ARP协议就需要采用以太网的"广播"功能:将请求包以广播的形式发送,交换机或WiFi设备(无线路由器)收到广播包时,会将此数据发给同一局域网的其他所有主机。

  请点击此处输入图片描述

  arp攻击原理技术都是属于黑客进阶技术,在局域网内的用户感触最深,学习黑客技术推荐书籍,某宝有售,《网络黑白》黑客入门到进阶必备书。

阅读
分享