UC知道高手再来谈谈arp
来源:百度知道 编辑:UC知道 时间:2024/06/03 18:08:51
很多人在描述arp攻击的时候都喜欢说利用假的mac地址发送报文进行欺骗。打个比方。网内一台主机将自己的IP变成网关的IP地址而发送欺骗包。而网内的其它一部份主机会以这台主机为路由器不断的回应。当然,从被欺骗主机上运行arp -a命令。arp缓存表是网关路由的mac地址的确变成了发送欺骗包的主机的mac地址。但事实上。路由器的真正mac地址并没有变。因为还有一部份能上网的主机呀!!!只不过是病毒机将假的mac地址写进了受攻击机的arp缓存表而已。
说了这么多。我想说的是。arp攻击不外乎是将本机的IP地址改为网关路由的IP地址就能实现欺骗其它主机的目的。不知道我这样说对不对?如果是这样的话,只要我们将本机的IP地址禁止修改,不是不就能真正意义上的防卸住了arp攻击了呢?希望懂的人进来大家探讨一下。共同研究防arp攻击的策略。
呵呵,为什么我说真正能防arp攻击的没几个呢?因为其它arp缓存太脆弱。虽然你绑定了网关地址,只要病毒里加入arp -d马上缓存表就会被清除。这样再被病毒机写入假的mac是一件很容易的事情啊!!!
那这样一来,arp攻击并不需要修改自身的IP也能发送欺骗包了?那么能不能说说病毒是通过什么手段来发送这些报文的?具体点!!!
那按照你的说法,病毒机的IP并没有被更改。请问其它主机的回应包应该发向哪里。因为按照你的说法虽然他发了欺骗包。但是欺骗包里的IP和MAC地址组合并不实际存在。主机的arp应答总有个地方吧。貌似病毒机可以生成一个虚拟的IP MAC地址。
3
首先你要了解内网通讯与外网通讯的区别 内网通讯依靠的不是IP地址而是MAC地址 这就是为什么会有ARP协议 如果你在内网中想和另一台电脑建立通讯 比如说PING他 那么首先你的电脑会查询自己的ARP表找到那台电脑的MAC 然后根据MAC地址发送ICMP报文 也就是说他是向那个MAC地址发送数据而不是IP地址 这也是为什么ARP攻击只在内网起作用的原因 而ARP欺骗主要伪造的就是MAC地址 如果你伪造的是网关或路由的IP和MAC而那个MAC并不存在的话 那么就会造成全网的掉线 而如果伪造的那个MAC是你自己网卡的MAC 那么内网中所有电脑的数据包都会先通过你那里(因为他们以为你就是网关) 这样你就可以截获这些数据包并窃取其中的私密信息 比如HTTP请求中的HTTP报头数据 其中包含网站登陆的账号密码
2
看来你并没明白我的回答 ARP的作用说白了没别的 其实就是转换 把IP地址转换成MAC地址 具体就是从ARP表里查 这就是为什么ARP协议叫做地址解析协议 至于病毒是通过什么手段发送的 呵呵 当然是通过ARP协议了 比如你的电脑IP是192.168.0.1内网中一个电脑向全网发送广播询问192.168.0.5这个IP的MAC是多少 那么正常情况下你的电脑和所有不符合那个IP电脑就不会搭理他 但是如果你想忽悠他那么你就发送广播(全网)我是192.168.0.5我的MAC是00-00-00-00-30-3B这样就形成了ARP欺骗 明白了吧 他跟你电脑的IP地址其实没啥关系 他伪造的是广播的地址而不是IP地址 IP地址根本就无法伪造 TCP/IP协议的三次握手可不是摆着看的
1
网上流传的双绑是什么我不知道 但是看你的意思好像就是在本机绑定网关或者路由的IP和MAC吧 这样的话确实没多大作用 具体看下ARP的原理就知道了 但是如果你在交换机或者路由中把下面电脑的IP和MAC绑定的话就可以比较有效的防御ARP攻击 因为如果下面有电脑发起ARP攻击的话那么他的广播出来的IP和MAC必然会和你写入网关或路由中的不一样 这样的话网关或路由就会自动禁止他的数据包通过 至于你说的IP地址禁止修改 我没有明白你的意思 因为发动ARP攻击并不是真的修改了IP地址 只是广播出错误的IP而已 打个比方 某班