注册 登录  
 加关注
   显示下一条  |  关闭
温馨提示!由于新浪微博认证机制调整,您的新浪微博帐号绑定已过期,请重新绑定!立即重新绑定新浪微博》  |  关闭

我心飞翔

我有一个梦想,……

 
 
 

日志

 
 
 
 

ARP欺骗原理与ARP防火墙选择  

2008-12-02 12:09:41|  分类: 软件、多媒体 |  标签: |举报 |字号 订阅

  下载LOFTER 我的照片书  |

转摘自:http://news.newhua.com/news1/Eval_Virus/2008/725/08725912478AJC02K228DGAFD1I171I5C266CI06BEI2K12H0CD0310.html?lt=common

 

序言

ARP欺骗是个很老的话题了,自从有了TCP/IP协议的那一刻起它就存在了。曾起何时,ARP不过是大学校园的“赖皮”学生用来争抢IP的一种技术手段而已!而现在利用ARP攻击方式盗取密码的事情数见不鲜!由于ARP攻击导致频繁掉线的事情频频出现。,让人很恼火。本文将着力解释什么是ARP攻击及其原理等,让读者朋友们对其有个深入的了解,并通过对国内六款主流的ARP防火墙的横向评测,为读者挑出自己满意的ARP防火墙。

什么是ARP

ARP是地址转换协议(Address Resolution Protocol)的英文缩写,它是一个链路层协议,工作在OSI模型的第二层,在本层和硬件接口间进行联系,同时对上层(网络层)提供服务。二层的以太网交换设备并不能识别32位的IP地址,它们是以48位以太网地址(就是我们常说的MAC地址)传输以太网数据包的。也就是说IP数据包在局域网内部传输时并不是靠IP地址而是靠MAC地址来识别目标的,因此IP地址与MAC地址之间就必须存在一种对应关系,而ARP协议就是用来确定这种对应关系的协议。

Windows操作系统,在命令行窗口输入"arp -a"命令可查看本机当前的ARP缓存表,ARP缓存表保存的就是IP地址与MAC地址的对应关系,如图1所示:

ARP欺骗原理与ARP防火墙选择 - 冰云 - 梦飞翔...

(图:1)

上图中,"Internet Address"指的就是IP地址,"Physical Address"指的就是MAC地址。

ARP欺骗原理(此资料引自彩影软件官方网站http://www.antiarp.com/

要说到ARP的欺骗原理,就不得不先说下ARP协议的工作原理:

ARP数据包根据接收对象不同,可分为两种:

1. 广播包(Broadcast)。广播包目的MAC地址为FF-FF-FF-FF-FF-FF,交换机设备接收到广播包后,会把它转发给局域网内的所有主机。

2. 非广播包(Non-Broadcast)。非广播包后只有指定的主机才能接收到。

ARP数据包根据功能不同,也可以分为两种:

1. ARP请求包(ARP Request)。ARP请求包的作用是用于获取局域网内某IP对应的MAC地址。

2. ARP回复包(ARP Reply)。ARP回复包的作用是告知别的主机,本机的IP地址和MAC是什么。

广播的一般都是ARP请求包,非广播的一般都是ARP回复包。

假设局域网内有以下两台主机,主机名、IP地址、MAC地址分别如下:

主机名 IP地址 MAC地址

A 192.168.0.1 AA-AA-AA-AA-AA-AA

B 192.168.0.2 BB-BB-BB-BB-BB-BB

当主机A需要与主机B进行通讯时,它会先查一下本机的ARP缓存中,有没有主机B的MAC地址。如果有就可以直接通讯。如果没有,主机A就需要通过ARP协议来获取主机B的MAC地址,具体做法相当于主机A向局域网内所有主机喊一嗓子:“喂~谁是192.168.0.2?我是192.168.0.1,我的MAC地址是AA-AA-AA-AA-AA-AA

。你的MAC地址是什么,快告诉我”,这时候主机A发的数据包类型为:广播-请求。

当主机B接收到来自主机A的“ARP广播-请求”数据包后,它会先把主机A的IP地址和MAC地址对应关系保存/更新到本机的ARP缓存表中,然后它会给主机A发送一个“ARP非广播-回复”数据包,其作用相当于告诉主机A:“嘿,我是192.168.0.2,我的MAC地址是BB-BB-BB-BB-BB-BB”。当主机A接收到主机B的回复后,它会把主机B的IP地址和MAC地址对应关系保存/更新到本机的ARP缓存表中,之后主机A和B就可以进行通讯了。

从上述局域网主机通讯过程可以看出,主机在两种情况下会保存、更新本机的ARP缓存表,

1. 接收到“ARP广播-请求”包时

2. 接收到“ARP非广播-回复”包时

从《ARP协议工作原理》一文我们已经了解到,主机在两种情况下会保存、更新本机的ARP缓存表,

1. 接收到“ARP广播-请求”包时

2. 接收到“ARP非广播-回复”包时

从中我们可以看出,ARP协议是没有身份验证机制的,局域网内任何主机都可以随意伪造ARP数据包,ARP协议设计天生就存在严重缺陷。

假设局域网内有以下三台主机(其中GW指网关),主机名、IP地址、MAC地址分别如下:

主机名 IP地址 MAC地址

GW 192.168.0.1 01-01-01-01-01-01

PC02 192.168.0.2 02-02-02-02-02-02

PC03 192.168.0.3 03-03-03-03-03-03

在正常情况下,主机PC02与GW之间的数据流向,以及它们各自的ARP缓存表如图2所示:

ARP欺骗原理与ARP防火墙选择 - 冰云 - 梦飞翔...

(图:2)

当网络爱好者,主机PC03出现之后,他为了达到某种目的,于是决定实施一次ARP欺骗攻击。PC03首先向PC02发送了一个ARP数据包,作用相当于告诉PC02:“嘿,我是192.168.0.1,我的MAC地址是03-03-03-03-03-03”,接着他也向GW发送了一个ARP数据包,作用相当于告诉GW:“嘿,我是192.168.0.2,我的MAC地址是03-03-03-03-03-03”。于是,主机PC02与GW之间的数据流向,以及它们各自的ARP缓存表就变成如图3所示:

ARP欺骗原理与ARP防火墙选择 - 冰云 - 梦飞翔...

(图:3)

从上图我们可以看出,ARP欺骗之后,主机PC02与GW之间的所有网络数据都将流经PC03,即PC03已经掌控了它们之间的数据通讯。以上就是一次ARP欺骗的实施过程,以及欺骗之后的效果。

ARP欺骗的种类及危害

ARP欺骗根据欺骗对象的不用可以分为三种,

1. 只欺骗受害主机。实施欺骗后效果如下:图4

ARP欺骗原理与ARP防火墙选择 - 冰云 - 梦飞翔...

(图:4)

2. 只欺骗路由器、网关。实施欺骗后效果如下:图5

ARP欺骗原理与ARP防火墙选择 - 冰云 - 梦飞翔...

(图:5)

3. 双向欺骗,即前面两种欺骗方法的组合使用。实施欺骗后的效果如下:图6

ARP欺骗原理与ARP防火墙选择 - 冰云 - 梦飞翔...

(图:6)

ARP欺骗带来的危害可以分为几大类

1. 网络异常。具体表现为:掉线、IP冲突等。

2. 数据窃取。具体表现为:个人隐私泄漏(如MSN聊天记录、邮件等)、账号被盗用(如QQ账号、银行账号等)。

3. 数据篡改。具体表现为:访问的网页被添加了恶意内容,俗称“挂马”。

4. 非法控制。具体表现为:网络速度、网络访问行为(例如某些网页打不开、某些网络应用程序用不了)受第三者非法控制。

ARP欺骗根据发起个体的不同可以分为两类,

1. 人为攻击。人为攻击的目的主要是:造成网络异常、窃取数据、非法控制。

2. ARP病毒。ARP病毒不是特指某一种病毒,而是指所有包含有ARP欺骗功能的病毒的总称。ARP病毒的目的主要是:窃取数据(盗号等)、篡改数据(挂马等)。

好了,在详细了解ARP之后,我们再来了解一下各ARP防火墙的评测结果。

ARP欺骗原理与ARP防火墙选择 - 冰云 - 梦飞翔...

测评总结

在经过一段时间的测评之后,小编的经验是:

如果操作系统是:windows xp、windows2000、windows2003的话,最佳的选择是风云防火墙。作为国内新兴的防火墙,风云操作简单易用,即便是新手使用也不会感到吃力。除了可以为PC提供不错的ARP防护外,还可以提供TCP/IP终止、SSL终止、URL过滤、请求分析、会话跟踪等全面防护。

如果操作系统是VISTA的话,最佳的选择莫过于金山ARP防火墙了。金山ARP防火墙的安装文件仅649K,资源占用区区752K,而ARP防护能力却着实不弱,值得考虑。另外,彩影ARP防火墙个人版的ARP防护能力也不逊于金山ARP防火墙,只是安装文件比金山的要大,内存占用多一点。

 

  评论这张
 
阅读(679)| 评论(0)
推荐 转载

历史上的今天

评论

<#--最新日志,群博日志--> <#--推荐日志--> <#--引用记录--> <#--博主推荐--> <#--随机阅读--> <#--首页推荐--> <#--历史上的今天--> <#--被推荐日志--> <#--上一篇,下一篇--> <#-- 热度 --> <#-- 网易新闻广告 --> <#--右边模块结构--> <#--评论模块结构--> <#--引用模块结构--> <#--博主发起的投票-->
 
 
 
 
 
 
 
 
 
 
 
 
 
 

页脚

网易公司版权所有 ©1997-2017