黑客攻防技术入门之arp篇

《黑客攻防技术入门之arp篇》由会员上传分享，免费在线阅读，更多相关内容在行业资料-天天文库。

1、黑客攻防技术--ARPARP（AddressResolutionProtocol），即地址解析协议。所谓地址解析，也就是将IP地址转换为MAC地址的过程。在局域网中，任何两台计算机之间进行通信前，都必须知道对方的MAC地址，所以ARP这个协议就非常重要。但如果该协议被恶意用于对网络进行攻击，会对局域网产生重大影响，甚至导致网络瘫痪。下面就将对ARP攻击的原理，类型以及如何用科来对ARP攻击进行定位，排除等。ARP欺骗攻击的类型大致分为两种：一种是对路由器ARP表的欺骗，另一种是对内网电脑的网关进行欺骗。对路由器进行ARP表的欺骗：对路由器发送一系列错误的内网MA

2、C地址，长时间不断发送，冲刷路由器的ARP表，使得路由器ARP表中都是错误信息，转发数据的时候都发向错误的MAC地址，造成正常的电脑无法收取信息，而假冒者可以窃取相关的信息。对内网电脑的网关进行欺骗：主要是通过建立假网关，让被他欺骗的电脑向这个假网管发送数据，而不是通过正常的路由器途径上网，这种欺骗造成的结果就是网络掉线。那么攻击者是如何来进行ARP攻击的呢？在这里向大家介绍一款软件，名称为WinArpAttacker，我们可以用这个来做一下实验。在使用WinArpAttacker之前，首先需要安装Winpcap，用于为应用程序提供访问网络低层的能力的软件。然后

3、我们打开winarpattacker。其界面如此。在实行攻击之前，我们首先要对整个局域网内的计算机进行扫描，以确定要攻击的主机。单击扫描以后，我们可以看到，整个局域网192.168.9.0/24内的所有计算机的IP地址、主机名和MAC地址都显示出来了。在扫描的时候，打开科来软件……我们瞬间捕捉下来了扫描的过程，见下图：双击打开诊断事件，我们观察一下数据包的内容其中9.66就是我试验用的主机，可以很明显看到，时间差几乎在1微秒，大量持续的扫描在一秒不到的时间内，发送了254个ARP包进行扫描，最终得出了整个局域网的情况。在平时，我们在诊断中发现有ARP请求风暴的时

4、候，可能就是黑客正在利用ARP扫描来进行对局域网内主机信息的分析，我们就要当心，及时做好防范措施。在扫描完了之后，我们可以选中其中一台主机，来进行攻击。在这里，笔者设定flood是1000次，进行攻击后，用科来软件进行分析几乎是在瞬间，完成了攻击，这样的攻击，如果硬件性能不够好，可能会在瞬间崩溃，直至宕机等严重的情况。可以看到，攻击用的MAC地址完全是假冒的01:01:01:01:01:01，在科来软件的诊断中，就出现了ARP格式违规。查看源IP地址就可以找出攻击来源。再尝试禁止网关的攻击。我们可以在数据包中分析：由于不断在误导计算机错误的网关，导致了该计算机的

5、数据转发向了一个虚假的地址，最终导致无法正常上网。最后，我们来尝试下IP地址冲突的攻击。从科来软件的诊断功能中，我们可以看到：在几秒钟之内，就出现了57次的IP地址冲突，在诊断事件中打开详细的数据包内容：我们可以通过解码看到，9.66不停地再宣告自己在01:01:01:01:01:01和F0:4D:A2:95:A5:F7,很明显产生了冲突，造成了原本发送向9.66的数据可能会被丢弃的这种情况，用户就会感受到网速变慢，甚至无法上网等。更有甚者可以用自己的MAC地址来假冒正常用户的MAC地址，以达到窃取信息的目的。通过前面的分析，我们大致上了解了，如何用科来软件对A

6、RP攻击做出快速的定位分析。那么，当我们查出了攻击来源，受到攻击的机群，我们如何来防御ARP攻击呢？我们可以使用ARP病毒专杀工具来对ARP病毒进行查杀。使用ARP防火墙，这也是在企业中比较常用的软件。绑定MAC地址。前面两种方法都是通过自动的方式进行的，而绑定MAC地址则需要手动来进行，在本机上绑定，我们可以使用arp-sIPMAC的命令来进行。而在路由器上的设置则比较简单，大家可以自行去路由器上进行尝试。主要介绍了一种入门级的攻击方式，而黑客在进行攻击的时候，会有一整套的流程进行，如何应对他们的攻击，需要我们再深入研究他们的攻击手段。