局域網(wǎng)ARP欺騙原理及危害

不僅僅統(tǒng)招學歷喲

熱門專業(yè)！
大學校園！
就業(yè)保障！
拿學歷又能高薪就業(yè)，誰能不愛！

了解詳情>

讓每一個家庭“安心”、“放心”

教學為本
師愛為魂
安心學習
放心就業(yè)

了解詳情>

深耕細作IT職業(yè)教育15載

青鳥之星教學質量大獎
卓越風云人物
北大青鳥中心理事會成員
七項榮耀載譽而行！

了解詳情>

我們教學怎么樣

實力見證
網(wǎng)絡組一等獎
網(wǎng)絡組二等獎
軟件組四等獎
200家校區(qū)脫穎而出！

了解更多>

北大青鳥職業(yè)IT20周年

重承諾
守信用
放心品牌
放心學習
靠靠譜譜好就業(yè)！

了解更多>

我命由我不由天

學個性的技術
做愛做的事
掙滿意的錢
衣食無憂
選擇寬且高大尚！

了解更多>

我們靠不靠譜

14年辦學
14年磨練
14年成長
14年探索
只為讓每個學員成材！

了解更多>

不打工也牛掰

好工作
好環(huán)境
高薪資
好課程
支持你成為有“錢”人！

了解更多>

學IT就讀北大青鳥

好工作
好未來
好老師
好課程
支持你成為受人尊敬的人！

了解更多>

網(wǎng)絡技術服務器管理數(shù)據(jù)庫網(wǎng)絡安全

作者：北大青鳥添加時間：06-11 瀏覽次數(shù)：0

網(wǎng)吧是最常見的局域網(wǎng)，相信很多讀者都曾經(jīng)到網(wǎng)吧上網(wǎng)沖浪。不過在使用過程中是否出現(xiàn)過別人可以正常上網(wǎng)而自己卻無法訪問任何頁面和網(wǎng)絡信息的情況呢？雖然造成這種現(xiàn)象的情況有很多，但是目前最常見的就是ARP欺騙了，很多黑客工具甚至是病毒都是通過ARP欺騙來實現(xiàn)對主機進行攻擊和阻止本機訪問任何網(wǎng)絡信息的目的，今天筆者就為各位介紹ARP欺騙的原理及危害，讓我們對這個攻擊方式有一個清晰的了解。

一，什么是ARP協(xié)議？

ARP協(xié)議是“Address Resolution Protocol”（地址解析協(xié)議）的縮寫。在局域網(wǎng)中，網(wǎng)絡中實際傳輸?shù)氖?ldquo;幀”，幀里面是有目標主機的MAC地址的。在以太網(wǎng)中，一個主機要和另一個主機進行直接通信，必須要知道目標主機的MAC地址。但這個目標MAC地址是如何獲得的呢？它就是通過地址解析協(xié)議獲得的。所謂“地址解析”就是主機在發(fā)送幀前將目標IP地址轉換成目標MAC地址的過程。ARP協(xié)議的基本功能就是通過目標設備的IP地址，查詢目標設備的MAC地址，以保證通信的順利進行。所以說從某種意義上講ARP協(xié)議是工作在更低于IP協(xié)議的協(xié)議層。這也是為什么ARP欺騙更能夠讓人在神不知鬼不覺的情況下出現(xiàn)網(wǎng)絡故障，他的危害更加隱蔽。

二，ARP欺騙的原理：

首先我們可以肯定一點的就是發(fā)送ARP欺騙包是通過一個惡毒的程序自動發(fā)送的，正常的TCP/IP網(wǎng)絡是不會有這樣的錯誤包發(fā)送的，而人工發(fā)送又比較麻煩。也就是說當黑客沒有運行這個惡毒程序的話，網(wǎng)絡上通信應該是一切正常的，保留在各個連接網(wǎng)絡計算機上的ARP緩存表也應該是正確的，只有程序啟動開始發(fā)送錯誤ARP信息以及ARP欺騙包時才會讓某些計算機訪問網(wǎng)絡出現(xiàn)問題。接下來我們來闡述下ARP欺騙的原理。

第一步：假設這樣一個網(wǎng)絡，一個Hub或交換機連接了3臺機器，依次是計算機A，B，C。

A的地址為：IP：192.168.1.1 MAC: AA-AA-AA-AA-AA-AA

B的地址為：IP：192.168.1.2 MAC: BB-BB-BB-BB-BB-BB

C的地址為：IP：192.168.1.3 MAC: CC-CC-CC-CC-CC-CC

第二步：正常情況下在A計算機上運行ARP -A查詢ARP緩存表應該出現(xiàn)如下信息。

Interface: 192.168.1.1 on Interface 0x1000003

Internet Address Physical Address Type

192.168.1.3 CC-CC-CC-CC-CC-CC dynamic

第三步：在計算機B上運行ARP欺騙程序，來發(fā)送ARP欺騙包。

B向A發(fā)送一個自己偽造的ARP應答，而這個應答中的數(shù)據(jù)為發(fā)送方IP地址是192.168.10.3（C的IP地址），MAC地址是DD-DD-DD-DD-DD-DD（C的MAC地址本來應該是CC-CC-CC-CC-CC-CC，這里被偽造了）。當A接收到B偽造的ARP應答，就會更新本地的ARP緩存（A可不知道被偽造了）。而且A不知道其實是從B發(fā)送過來的，A這里只有192.168.10.3（C的IP地址）和無效的DD-DD-DD-DD-DD-DD mac地址。

第四步：欺騙完畢我們在A計算機上運行ARP -A來查詢ARP緩存信息。你會發(fā)現(xiàn)原來正確的信息現(xiàn)在已經(jīng)出現(xiàn)了錯誤。

Interface: 192.168.1.1 on Interface 0x1000003

Internet Address Physical Address Type

192.168.1.3 DD-DD-DD-DD-DD-DD dynamic

從上面的介紹我們可以清楚的明白原來網(wǎng)絡中傳輸數(shù)據(jù)包最后都是要根據(jù)MAC地址信息的，也就是說雖然我們?nèi)粘Ｍㄓ嵍际峭ㄟ^IP地址，但是最后還是需要通過ARP協(xié)議進行地址轉換，將IP地址變?yōu)镸AC地址。而上面例子中在計算機A上的關于計算機C的MAC地址已經(jīng)錯誤了，所以即使以后從A計算機訪問C計算機這個192.168.1.3這個地址也會被ARP協(xié)議錯誤的解析成MAC地址為DD-DD-DD-DD-DD-DD的。

問題也會隨著ARP欺騙包針對網(wǎng)關而變本加厲，當局域網(wǎng)中一臺機器，反復向其他機器，特別是向網(wǎng)關，發(fā)送這樣無效假冒的ARP應答信息包時，嚴重的網(wǎng)絡堵塞就會開始。由于網(wǎng)關MAC地址錯誤，所以從網(wǎng)絡中計算機發(fā)來的數(shù)據(jù)無法正常發(fā)到網(wǎng)關，自然無法正常上網(wǎng)。這就造成了無法訪問外網(wǎng)的問題，另外由于很多時候網(wǎng)關還控制著我們的局域網(wǎng)LAN上網(wǎng)，所以這時我們的LAN訪問也就出現(xiàn)問題了。

三，ARP欺騙的危害：

前面也提到了ARP欺騙可以造成內(nèi)部網(wǎng)絡的混亂，讓某些被欺騙的計算機無法正常訪問內(nèi)外網(wǎng)，讓網(wǎng)關無法和客戶端正常通信。實際上他的危害還不僅僅如此，一般來說IP地址的沖突我們可以通過多種方法和手段來避免，而ARP協(xié)議工作在更低層，隱蔽性更高。系統(tǒng)并不會判斷ARP緩存的正確與否，無法像IP地址沖突那樣給出提示。而且很多黑客工具例如網(wǎng)絡剪刀手等，可以隨時發(fā)送ARP欺騙數(shù)據(jù)包和ARP恢復數(shù)據(jù)包，這樣就可以實現(xiàn)在一臺普通計算機上通過發(fā)送ARP數(shù)據(jù)包的方法來控制網(wǎng)絡中任何一臺計算機的上網(wǎng)與否，甚至還可以直接對網(wǎng)關進行攻擊，讓所有連接網(wǎng)絡的計算機都無法正常上網(wǎng)。這點在以前是不可能的，因為普通計算機沒有管理權限來控制網(wǎng)關，而現(xiàn)在卻成為可能，所以說ARP欺騙的危害是巨大的，而且非常難對付，非法用戶和惡意用戶可以隨時發(fā)送ARP欺騙和恢復數(shù)據(jù)包，這樣就增加了網(wǎng)絡管理員查找真兇的難度。那么難道就沒有辦法來阻止ARP欺騙問題的發(fā)生嗎？下篇文章筆者將就這些內(nèi)容進行講解，讓我們真真正正的和ARP欺騙說再見。

本文由站河南北大青鳥校區(qū)整編而成，如需了解更多IT資訊類的文章、新聞、課程和學習技巧、就業(yè)案例、招生詳情等問題，可以對在線咨詢老師進行一對一問答！