局域网内arp攻击与防护之解析 2007-09-2623:06 局域网内arp攻击与防护之解析本文由Andy3800发表于2007-1-1412:50:00arp攻击在校园网内越来越泛滥，包括中病毒者，蓄意攻击者，无论哪种情况，都会造成网络中断的情况。HNW黑色海岸线网络安全资讯站鉴于此，特写此文为大家解惑arp。HNW黑色海岸线网络安全资讯站arp全称地址解析协议，提供了ip地址——〉mac地址的解析。ip地址是为大家所熟知的逻辑地址，而mac就有很多人不知道为何物了。mac地址是一个烧录在网卡内的物理硬件地址，该地址在网卡出厂时就由网卡生产厂家唯一确定了的，真正全球唯一（恶意修改或伪造的除外）。ip地址提供了网络上路由选择的依据，而mac地址则提供以太网内主机的定位。HNW黑色海岸线网络安全资讯站我们所在的网络是由许许多多的路由器和交换机构成，路由器识别ip地址，而交换机识别mac地址。因为是浅析，我不深入讲解交换和路由的机制，具体涉及到该方面的内容时再具体分析。HNW黑色海岸线网络安全资讯站我们寝室内的电脑要连接校园网，首先连接到的就是交换机。我画了个简单的拓卜，来表示我们寝室的网络：HNW黑色海岸线网络安全资讯站HNW黑色海岸线网络安全资讯站图中所有主机的mac地址均为假设HNW黑色海岸线网络安全资讯站图中的主机a、b、c、d、e、f就表示我们的电脑，交换机就是我们各楼层中的交换机，路由器则是我们的网关。我所在楼层的ip段为172.19.5.1~172.19.5.254，172.19.5.1为网关地址，从2~254都为主机地址。我假设主机a要和主机b通信，现在，来看一下这个通信过程怎么实现的。HNW黑色海岸线网络安全资讯站首先，主机a通过用户输入或别的途径了解到主机b的ip地址为172.19.5.3。前文说过交换机只识别mac地址，我们的主机都连接在交换机上，所有的通信都得通过mac地址来定位主机。而此时，a并不知道b的mac地址为多少。所以a就发出一个arp请求广播，该arp请求广播中包括了a的ip地址，mac地址，b的ip地址以及一个mac广播地址（FF.FF.FF.FF.FF.FF），其意思为：“你好，我的ip地址为172.193.5.2，mac地址为AA.AA.AA.AA.AA.AA，请拥有ip地址为172.19.5.3的主机回复你的mac地址。”。所谓广播，就是连接于交换机上的所有主机都会收到该arp请求广播。因为请求中包含了目标ip为172.19.5.3的内容，广播域内的其他主机通过识别内容中的目的ip地址，发现该广播不是发给自己的，于是丢弃该arp请求。而主机b识别该arp请求后，发现目的主机是自己，于是通过arp请求中a的mac地址回复一个arp回复，并将主机a的ip地址和mac地址存入自己arp缓存表以供下回通信时使用，而不必再发送arp请求来寻找主机a。注意，因为通过主机a的arp请求，主机b已经知道a的mac地址是多少了，所以这个arp回复是以单播的形式发送给主机a，其他主机是不会收到这个回复的。arp回复的内容为主机b的ip地址，mac地址，目的主机a的ip地址，mac地址。其意思为：“你好，我是拥有ip为172.19.5.3的主机，我的mac地址为BB.BB.BB.BB.BB.BB。”通过这一arp请求-应答，主机a就知道了mac，同时也将主机b的ip地址和mac地址存入自己的arp缓存表，以供以后的通信使用。HNW黑色海岸线网络安全资讯站废话了这么多，其实都为了之后更好的理解arp攻击的原理及发生过程。HNW黑色海岸线网络安全资讯站下面就进入arp的攻击篇。HNW黑色海岸线网络安全资讯站其实所谓arp攻击就是利用了arp协议的漏洞，通过伪造的数据，刷新目的机器的arp缓存表来达到攻击目的的。HNW黑色海岸线网络安全资讯站在arp协议中，定义了绝对相信arp回复中所提供的信息。这就给了攻击者可乘之机。前文说过，arp回复中包括了回复者的ip地址，mac地址，目的主机的ip地址，mac地址。而收到arp回复的主机不会检测该arp回复是否为真的主机回复，且不在乎之前自己是否发送过arp请求。一旦主机收到arp回复，就提取其中的回复者的ip地址和mac地址加入自己的arp缓存，如果缓存中已有关于该ip的记录，就用新的arp回复中提供的mac地址刷新原来的mac地址。HNW黑色海岸线网络安全资讯站于是，攻击产生了。我们可以用特定的软件来产生arp回复，发送向欲攻击的主机，来刷新它的arp缓存，导致原本该发向真正主机的数据却发向了攻击者精心定义的伪造mac地址。如果攻击者持续不断的发送这种伪造的arp回复，会导致被攻击机器的arp缓存表中的ip与mac的对应一直是错误的。HNW黑色海岸线网络安全资讯站原