辛弃疾生平简介100字:网络技术基础知识一之ARP协议欺骗(组图) - 正正的日志 - 网易博客

来源:百度文库 编辑:九乡新闻网 时间:2024/04/28 13:47:03
ARP欺骗过程

假设一个只有三台电脑组成的局域网,该局域网由交换机(Switch)连接。其中一个电脑名叫A,代表攻击方;一台电脑叫S,代表源主机,即发送数据的电脑;令一台电脑名叫D,代表目的主机,即接收数据的电脑。这三台电脑的IP地址分别为192.168.0.2,192.168.0.3,192.168.0.4。MAC地址分别为MAC_A,MAC_S,MAC_D。其网络拓扑环境如图3。

                                   

                                                                                          图3 网络拓扑

现在,S电脑要给D电脑发送数据了,在S电脑内部,上层的TCP和UDP的数据包已经传送到了最底层的网络接口层,数据包即将要发送出去,但这时还不知道目的主机D电脑的MAC地址MAC_D。这时候,S电脑要先查询自身的ARP缓存表,查看里面是否有192.168.0.4这台电脑的MAC地址,如果有,那很好办,就将 封装在数据包的外面。直接发送出去即可。如果没有,这时S电脑要向全网络发送一个ARP广播包,大声询问:“我的IP是192.168.0.3,硬件地址是MAC_S,我想知道IP地址为192.168.0.4的主机的硬件地址是多少?” 这时,全网络的电脑都收到该ARP广播包了,包括A电脑和D电脑。A电脑一看其要查询的IP地址不是自己的,就将该数据包丢弃不予理会。而D电脑一看IP地址是自己的,则回答S电脑:“我的IP地址是192.168.0.4,我的硬件地址是MAC_D”需要注意的是,这条信息是单独回答的,即D电脑单独向S电脑发送的,并非刚才的广播。现在S电脑已经知道目的电脑D的MAC地址了,它可以将要发送的数据包上贴上目的地址MAC_D,发送出去了。同时它还会动态更新自身的ARP缓存表,将192.168.0.4-MAC_D这一条记录添加进去,这样,等S电脑下次再给D电脑发送数据的时候,就不用大声询问发送ARP广播包了。这就是正常情况下的数据包发送过程。

这样的机制看上去很完美,似乎整个局域网也天下太平,相安无事。但是,上述数据发送机制有一个致命的缺陷,即它是建立在对局域网中电脑全部信任的基础上的,也就是说它的假设前提是:无论局域网中那台电脑,其发送的ARP数据包都是正确的。那么这样就很危险了!因为局域网中并非所有的电脑都安分守己,往往有非法者的存在。比如在上述数据发送中,当S电脑向全网询问“我想知道IP地址为192.168.0.4的主机的硬件地址是多少?”后,D电脑也回应了自己的正确MAC地址。但是当此时,一向沉默寡言的A电脑也回话了:“我的IP地址是192.168.0.4,我的硬件地址是MAC_A” ,注意,此时它竟然冒充自己是D电脑的IP地址,而MAC地址竟然写成自己的!由于A电脑不停地发送这样的应答数据包,本来S电脑的ARP缓存表中已经保存了正确的记录:192.168.0.4-MAC_D,但是由于A电脑的不停应答,这时S电脑并不知道A电脑发送的数据包是伪造的,导致S电脑又重新动态更新自身的ARP缓存表,这回记录成:192.168.0.4-MAC_A,很显然,这是一个错误的记录(这步也叫ARP缓存表中毒),这样就导致以后凡是S电脑要发送给D电脑,也就是IP地址为192.168.0.4这台主机的数据,都将会发送给MAC地址为MAC_A的主机,这样,在光天化日之下,A电脑竟然劫持了由S电脑发送给D电脑的数据!这就是ARP欺骗的过程。

如果A这台电脑再做的“过分”一些,它不冒充D电脑,而是冒充网关,那后果会怎么样呢?我们大家都知道,如果一个局域网中的电脑要连接外网,也就是登陆互联网的时候,都要经过局域网中的网关转发一下,所有收发的数据都要先经过网关,再由网关发向互联网。在局域网中,网关的IP地址一般为192.168.0.1。如果A这台电脑向全网不停的发送ARP欺骗广播,大声说:“我的IP地址是192.168.0.1,我的硬件地址是MAC_A”这时局域网中的其它电脑并没有察觉到什么,因为局域网通信的前提条件是信任任何电脑发送的ARP广播包。这样局域网中的其它电脑都会更新自身的ARP缓存表,记录下192.168.0.1-MAC_A这样的记录,这样,当它们发送给网关,也就是IP地址为192.168.0.1这台电脑的数据,结果都会发送到MAC_A这台电脑中!这样,A电脑就将会监听整个局域网发送给互联网的数据包!

实际上,这种病毒早就出现过,这就是ARP地址欺骗类病毒。一些传奇木马(Trojan/PSW.LMir)具有这样的特性,该木马一般通过传奇外挂、网页木马等方式使局域网中的某台电脑中毒,这样中毒电脑便可嗅探到整个局域网发送的所有数据包,该木马破解了《传奇》游戏的数据包加密算法,通过截获局域网中的数据包,分析数据包中的用户隐私信息,盗取用户的游戏帐号和密码。在解析这些封包之后,再将它们发送到真正的网关。这样的病毒有一个令网吧游戏玩家闻之色变的名字:“传奇网吧杀手”

网络技术基础知识一之ARP协议欺骗(组图) - 正正的日志 - 网易博客 人际关系图解 - 青阳正刚的日志 - 网易博客 【引用】传世珍宝(玉器) - 正月正的日志 - 网易博客 [原创]风 - 天水张正的日志 - 网易博客 【转载】心善,心宽,心静,心正,, - 疲惫的心的日志 - 网易博客 李燕杰:人生的九级浪 - 青阳正刚的日志 - 网易博客 正行草三体对照书法 - 山东豹的日志 - 网易博客 【引用】青山不墨千秋画,流水无弦万古琴 - 正月正的日志 - 网易博客 中国大学生正被培养成宅男宅女 - 博啦的日志 - 网易博客 生活类互联网—正成为中国互联网下一个爆发点 - Horus的日志 - 网易博客 【引用】马克影剧院---电视(全部能看) - 正月正的日志 - 网易博客 牛刀:房价未降房企品牌正轰然崩塌 - 牛刀的日志 - 网易博客 围棋入门(完整版) - 青阳正刚的日志 - 网易博客 [收藏] 词 林 正 韵 - 纤指悠然的日志 - 网易博客 围棋入门(完整版) - 青阳正刚的日志 - 网易博客 让学历见鬼去吧----20世纪最狂妄的校园演讲 - 青阳正刚的日志 - 网易博客 怎样辨别外贸服饰『仿单,跟单,原单,尾单,正j品』 - aswan的日志 - 网易博客 哥去微软面试,第一句话就被赶出来了!(转载) - 慎正的日志 - 网易博客 ARP、ARP欺骗、网关网络知识的比喻教学 ARP协议 网络管理之ARP协议篇 网络管理之ARP协议篇 第七讲、杨公风水基础知识之正体五行 - 发的日志 - 网易博客 第八讲、杨公风水、易理日课基础知识之洪范五行 - 发的日志 - 网易博客