2024年4月2日发(作者:)

地址欺骗

(一) ARP欺骗

1. ARP欺骗原理

ARP原理某机器A要向主机C发送报文,会查询本地的ARP缓存表,找到C的IP地

址对应的MAC地址后,就会进行数据传输。如果未找到,则广播一个ARP请求报文(携

带主机A的IP地址Ia——物理地址AA:AA:AA:AA),请求IP地址为Ic的主机C回答物

理地址Pc。网上所有主机包括C都收到ARP请求,但只有主机C识别自己的IP地址,于

是向A主机发回一个ARP响应报文。其中就包含有C的MAC地址CC:CC:CC:CC,A

接收到C的应答后,就会更新本地的ARP缓存。接着使用这个MAC地址发送数据(由网

卡附加MAC地址)。因此,本地高速缓存的这个ARP表是本地网络流通的基础,而这个缓

存是动态的。

ARP协议并不只在发送了ARP请求才接收ARP应答。当计算机接收到ARP应答数

据包的时候,就会对本地的ARP缓存进行更新,将应答中的IP和MAC地址存储在ARP

缓存中。因此,局域网中的机器B首先攻击C使C瘫痪,然后向A发送一个自己伪造的

ARP应答,而如果这个应答是B冒充C伪造来的,即IP地址为C的IP,而MAC地址是B

的,则当A接收到B伪造的ARP应答后,就会更新本地的ARP缓存,这样在A看来C的

IP地址没有变,而它的MAC地址已经变成B的了。由于局域网的网络流通不是根据IP地

址进行,而是按照MAC地址进行传输。如此就造成A传送给C的数据实际上是传送到B.

这就是一个简单的ARP欺骗,如图所示。

2. ARP欺骗的防范措施

a) 在winxp下输入命令arp-s gate-way-jp gate-way-mac固化arp表,阻止arp

欺骗。

b) 使用ARP服务器。通过该服务器查找自己的ARP转换表来响应其他机器的ARP厂

播。确保这台ARP服务器不被黑。

c) 采用双向绑定的方法解决并且防止ARP欺骗。

d) ARP防护软件——ARPGuard。通过系统底层核心驱动,无须安装其他任何第三

方软件(如WinPcap),以服务及进程并存的形式随系统启动并运行,不占用计算机系统资

源。无需对计算机进行IP地址及MAC地址绑定,从而避免了大量且无效的工作量。也不

用担心计算机会在重启后新建ARP缓存列表,因为此软件是以服务与进程相结合的形式存

在于计算机中,当计算机重启后软件的防护功能也会随操作系统自动启动并工作。