1、申 请 I D :azshaoqin
您好,个人对计算机很有兴趣,自学C、PHP编程、会点ASM、做过web设计及开发,纯兴趣去学的,还只是个学生党,诚心求号,来和大家一起学习进步。 已经关注了52 破解论坛有较长时间,对软件分析及脱壳破解非常好奇,暂时就根据论坛一些教程进行简单的破解和修改(去广告改图),感觉算不上原创精华,在这方面还只是个新人。目前正在深入学习网络运维,刚好发现论坛有关ARP 攻击的贴子不多,就整理分享下我学习知识和总结——ARP欺骗和防范。 ==================这是一条分割线==================== 首先我们必须了解什么是ARP,明白ARP协议的工作原理,才能理解攻击者是如何利用ARP欺骗我们的上网设备(电脑手机等) 一、必须了解的概念、协议和原理 理论的东西总会有点枯燥,为方便新手理解,这里我只是粗略家简单地讲下,可能表述并不严谨,还望理解,科学严谨的定义可自行上网查看。 【IP地址】 IP地址(Internet Protocol Address)是一种在Internet上的给主机编址标识的方式,也称为网际协议地址,相当于电话的固定号码,你的”电话”想要拨打和接听,就必须分配有一段号码,由电信运营商提供(严格来说是ISP)。 【MAC地址】 MAC(Media Access Control),即媒体访问控制地址,或称为物理地址、硬件位址,用来定义网络设备(网卡)的位置,相当于人的身份证,都是全世界唯一的。网卡一生产出来就有的地址标识。 【网卡】 网卡,又称网络适配器(NIC),是一块被设计用来允许计算机在计算机网络上进行通讯的计算机硬件。MAC地址是由计算机网卡所决定的,而IP地址则因网络不同而不同,通过网卡接收获取到。 网卡可分为有线和无线,所拥有的MAC和IP地址并不一样,电脑可通过打开”本地连接/以太网连接”查看,如下图(我的笔记本)。 【ARP协议】 我们电脑是如何实现联网和数据传输的?这涉及一系列协议的作用,其中就有ARP协议。我们知道,网络层以上使用的是IP地址,但在链路层传输数据时实际使用的是MAC地址。也就是说IP数据包在局域网内部传输时并不是靠IP地址而是靠MAC地址来识别目标的,IP和MAC必定存在一种对应关系,否则数据发送不到目的主机造成数据丢失(断网)。
ARP(Address Resolution Protocol),地址解析协议是根据IP地址获取物理地址的一个TCP/IP协议。主机发送数据时将包含目标IP地址的“ARP请求”发给网络上的所有主机,收到返回消息后将该IP地址和物理地址存入本机ARP缓存中并保留一定时间,下次请求时直接查询ARP缓存。 可通过命令符指令“arp -a”查询本地ARP缓存,如下图,IP地址和MAC地址的作用在这里就体现出来了。
================ARP攻击实战演示=================== 好了,了解完这些,那就我们进入帖子的重点 【ARP欺骗】我们已经知道两台主机要进行通信,必定会发送ARP包进而确认数据的具体流向,而ARP欺骗,通过不断发送人工伪造的ARP包,使局域网上的主机或网关ARP表内的对应MAC地址为攻击者的MAC地址,这样所有的网络流量都会发送给攻击者主机,从而实现数据监听、篡改、重放、钓鱼等攻击方式。 根据这一原理,我们对ARP欺骗(攻击主机的ARP表)做下实际演示: 环境:手机A、笔记本B(被攻击者)、笔记本T(攻击者)、无线路由器(将手机和笔记本连在同一网络) 攻击者:192.168.1.180(笔记本T) 被攻击者:192.168.1.162(手机A) 192.168.1.150(笔记本B) 网关:192.168.1.1(RP-LINK路由器) 使用工具:Cain、WinArpAttacker、某安全软件、winpcap。
一、在攻击者笔记本T上安装ARP攻击工具 (下载链接在此)http://pan.baidu.com/s/1dFBSDzV 密码:0hxy 其中Cain,数据拦截器,通过ARP欺骗伪装,以改变它们之间的正常通信方向,嗅探局域网中传输的数据包,从而获取有用信息,比如各类密码等。 1. WinArpAttacker,ARP攻击软件,利用Send功能发送人工自制的ARP包进行攻击,从而欺骗主机或网关。 2. 某安全软件,广告避嫌,就不说是哪家的产品,主要是用于检测和防御ARP攻击,检验该安全软件的防御ARP攻击的能力,实战模拟其防御过程,看是不是真材实料,在本次测试中是安装在笔记本B,手机A没有安装任何安全软件。 3. winpcap是用于网络封包抓取的一种工具,是本次测试的必装工具,前面两个工具都依赖于次工具,在安装完两个工具时都会提醒安装或更新winpcap。
4. 特别提醒:安全测试工具,报毒是正常现象,可关闭安全软件。有一点必须提到过度攻击可能导致攻击者和被攻击者网络和系统的不稳定,甚至down机!
|