一、ARP--IP與MAC間的橋梁
ARP(Address Resolution Prtocol)是用來將ip地址決議為mac地址的協議,在局域網中,當主機或者其他三層網路設備有資料要發送給另外一臺主機或者三層網路設備時,它需要知道對方的網路層地址(即IP地址),但是僅有IP地址是不夠的,因為ip報文必須封裝成二層幀才能通過物理網路發送,因此發送方還需要知道對方的物理地址(即mac地址),這就需要一個從ip地址到mac地址的映射,arp協議就可以實作將ip地址決議為mac地址,主機或者三層網路設備上會維護一張arp表,用于存盤ip地址和mac地址的關系,一般arp表項包括靜態arp表項和動態arp表項,
二、ARP表項
三、局域網通信程序
當需要通信的兩臺主機處于同一網段時,如圖1中的Host_1和Host_3,Host_1要向Host_3發送資料,
1. 首先,Host_1會查找自己本地快取的ARP表,確定是否包含Host_3對應的ARP表項,如果Host_1在ARP表中找到了Host_3對應的MAC地址,則Host_1直接利用ARP表中的MAC地址,對資料報文進行幀封裝,并將資料報文發送給Host_3,如果Host_1在ARP表中找不到Host_3對應的MAC地址,則先快取該資料報文,并以廣播方式發送一個ARP請求報文,如圖1中所示,OP欄位為1表示該報文為ARP請求報文,ARP請求報文中的源MAC地址和源IP地址為Host_1的MAC地址和IP地址,目的MAC地址為全0的MAC地址,目的IP地址為Host_3的IP地址,
2. Switch_1收到ARP請求報文后,將該ARP請求報文在同一廣播域內轉發,
3. 同一廣播域內的主機Host_2和Host_3都能接收到該ARP請求報文,但只有被請求的主機(即Host_3)會對該ARP請求報文進行處理,Host_3比較自己的IP地址和ARP請求報文中的目的IP地址,當兩者相同時進行如下處理:將ARP請求報文中的源IP地址和源MAC地址(即Host_1的IP地址和MAC地址)存入自己的ARP表中,之后以單播方式發送ARP應答報文給Host_1,ARP應答報文內容如圖1中所示,OP欄位為2表示該報文為ARP應答報文,源MAC地址和源IP地址為Host_3的MAC地址和IP地址,目的MAC地址和目的IP地址為Host_1的MAC地址和IP地址,
4. Switch_1收到ARP應答報文后,將該ARP應答報文轉發給Host_1,Host_1收到ARP應答報文后,將Host_3的MAC地址加入到自己的ARP表中以用于后續報文的轉發,同時將資料報文進行幀封裝,并將資料報文發送給Host_3,
四、常見arp攻機
ARP協議有簡單、易用的優點,但是也因為其沒有任何安全機制,容易被攻機者利用,在網路中,常見的ARP攻機方式主要包括:
ARP泛洪攻機,也叫拒絕服務攻機DoS(Denial of Service),主要存在這樣兩種場景:
設備處理ARP報文和維護ARP表項都需要消耗系統資源,同時為了滿足ARP表項查詢效率的要求,一般設備都會對ARP表項規模有規格限制,
者就利用這一點,通過偽造大量源IP地址變化的ARP報文,使得設備ARP表資源被無效的ARP條目耗盡,合法用戶的ARP報文不能繼續生成ARP條目,導致正常通信中斷,
攻機者利用工具掃描本網段主機或者進行跨網段掃描時,會向設備發送大量目標IP地址不能決議的IP報文,導致設備觸發大量ARP Miss訊息,生成并下發大量臨時ARP表項,并廣播大量ARP請求報文以對目標IP地址進行決議,從而造成CPU(Central Processing Unit)負荷過重,
ARP欺騙攻機,是指攻機者通過發送偽造的ARP報文,惡意修改設備或網路內其他用戶主機的ARP表項,造成用戶或網路的報文通信例外,
中間人攻機是常見的arp欺騙攻機,
如果:
userA的ip地址是10.0.0.1/24,mac地址是1-1-1
userB的ip地址是10.0.0.2/24,mac地址是2-2-2
userC的ip地址是10.0.0.3/24,mac地址是3-3-3
A要與B通信,則首先廣播了arp請求,希望獲得10.0.0.2所對應的mac地址,正常情況下,B會回復這個請求,給A一個正確的mac地址2-2-2,而C發現這個ip地址不是自己的,就不會回復,之后A就會把資料封裝成幀,發送給B,但是如果此時C是攻機者,就會主動回復A,告訴10.0.0.2所對應的mac地址是3-3-3,從而導致A誤以為C就是B,并且假裝A給B發送一個ARP請求,但是這個ARP請求中的源ip地址是A的地址,源MAC地址卻是自己的,導致B也學習到了錯誤的arp表項,導致B誤以為C就是A,C就像一個中間人,在A和B之間做了資料的二把刀,A和B的所有通信內容都會被C得到,從而實施進一步的動作,比如修改了資料內容,導致A和B之間的資料被篡改,
這讓我想到了今年的吳某事件,
2021年7月22日,北京朝陽警方發布調查的情況通報:2020年12月,吳某經紀人以挑選MV女主角面試為由,約都某參加聚會,都某酒后在某家中留宿,兩人發生了關系,隨后,詐騙嫌疑人(劉某)冒充被吳某欺騙感情的女性騙取都某信任,獲取都某手中的交往資訊,接著以都某的名義與吳某律師聯系協商賠償,最后再冒充吳某作業室與都某協商賠償,《法治日報》評論,吳某事件啟示在于以事實為依據、以法律為準繩,厘清真相,法律是最有力的定音錘,無論是誰,違法必懲,
這個劉某就是典型的中間人攻機,
五、ARP攻機危害
會造成網路連接不穩定,引發用戶通信中斷,
利用ARP欺騙截取用戶報文,進而非法獲取游戲、網銀、檔案服務等系統的帳號和口令,造成被攻機者重大利益損失,
歡迎關注我的公眾號:旁騖OtherThing
轉載請註明出處,本文鏈接:https://www.uj5u.com/qita/387776.html
標籤:其他
上一篇:web安全day18:kali下的兩個實驗徹底理解中間人攻擊
下一篇:掃描之王——NAMP