联系我们
电话咨询:0371-56752222
传真:0371-55678321
地址:郑州市高新区科学大道中原国家广告产业园3号楼5层137号

什么是网络中的ARP攻击?有什么危害?

作者/整理:admin 来源:帝通科技http://www.ddvidc.com 2018-02-11



 ARP攻击主要是利用 ARP协议的漏洞上的漏洞进行攻击,通常这种攻击会出现在局域网中而针对的系统比较广泛, 例如windows,linux等,虽然如今很多企业都采用高防服务器进行网络的防御,但是对于ARP攻击这些利用局域网漏洞的原理进行攻击时,就需要涉及到高防服务器防御策略。下面我们就详细介绍一下什么是ARP攻击。
 网站ARP攻击是什么
什么是ARP攻击
 
  ARP协议是 Address Re9oluti)n ProlocoP(地址解析协议)的缩写,在以太网中,主机之间的直接通信必须知道目标主机的 MAC地址,而 ARP协议的基本功能就是把逻辑地址( IP地址)映射为物理地址(MAC地址),以保证通信的顺利进行[ARP 协议是局域网协-议, 设计之初出于传输效率的考虑,在数据链路层没有做安全上的防范, 所以存在以下缺陷。
 
  ( 1)ARP应答是无需验证的,,任何报文都是的合法的,收到 ARP应答报文的主机不会检测该应答包是否为真实主机回复, 且不在乎之前自已是否发通ARP请求, ARP应答报文中包括了回复者的IP地址和MAC地以及目的主机的IP地址和MAC地址, 一旦主机收到ARP应答报文,就检査高速缓存表中寻找对已这个 ARP分组的项目,即回复者的 IP地址记录. 若找到这样的项目,就用新的应答包中提供的MAC地址刷新原来的 MAc 地址, 如果找不到解的项目,就提取其中应答报文的IP地址和 MAC创建一个新的项目。
 
  (2)主机的 ARP 高速缓存表中创建一个项目后,该项日中的IP对应的计算机就被当作可信任的计算机主机不提供检验 IP与 MAc地址对应表真实性的机制.大多数主机保存通过ARP得到的映射,不考應解数性也不维护一致性, ARP高速缓存表有可能把几个IP地址映射到同一个 MAC地址上。
 
  ARP攻击,是指攻击者利用地址解析协议本身的运行机制而发动的攻击行为。包括进行对主机发动IP冲突攻击、数据包轰炸,切断局域网上任何一台主机的网络连接等。主要有以盗取数据为主要目的的ARP欺骗攻击,还有以捣乱破坏为目的的ARP泛洪攻击两种。以下为 ARP攻击类型的细分
 
  IP地址冲突
  制造出局域网上有另一台主机与受害主机共享一个IP的假象。由于违反了唯一性要求,受害主机会自动向用户弹出警告对话框。大量的攻击数据包能令受害主机耗费大量的系统资源。对于windows操作系统,只要接收到一个ARP数据包,不管该ARP数据包符不符合要求,只要该ARP数据包所记录的源ip地址同本地主机相同但MAC地址不同,windows系统就会弹出ip地址冲突的警告对话框。根据ip地址冲突的攻击特征描述,这种类型的ARP攻击主要有以下几种:
 
  (1)单播型的IP地址冲突:链路层所记录的目的物理地址为被攻击主机的物理地址,这样使得该ARP数据包只能被受攻击主机所接收而不被局域网内的其它主机所接收实现隐蔽式攻击。
 
  (2)广播型的IP地址冲突:链路层所记录的目的物理地址为广播地址,这样使得局域网内的所有主机都会接受到该ARP数据包,虽然该ARP数据包所记录的目的ip地址不是受攻击主机的ip地址,但是由于该ARP数据包为广播数据包,这样受攻击主机也会接收到从而弹出ip地址冲突的警告对话框。
 
  ARP泛洪攻击
  攻击主机持续把伪造的MAC-IP映射对发给受害主机,对于局域网内的所有主机和网关进行广播,抢占网络带宽和干扰正常通信。这种攻击方式的主要攻击特征包含
  (1)通过不断发送伪造的ARP广播数据报使得交换机拼于处理广播数据报耗尽网络带宽。(2)令局域网内部的主机或网关找不到正确的通信对象,使得正常通信被阻断。(3)用虚假的地址信息占满主机的ARP高速缓存空间,造成主机无法创建缓存表项,无法正常通信,这种攻击特征作者将其命名为ARP溢出攻击。ARP泛洪攻击不是以盗取用户数据为目的,它是以破坏网络为目的,属于损人不利己的行为。
 
  ARP溢出攻击
  ARP溢出攻击的特征主要有:
  (1)所发送的伪造MAC-IP映射对的ip地址是非本地网的虚拟不存在的ip地址但MAC地址是固定的,由于当操作系统接收到一个源ip地址在ARP高速缓存表中不存在的ARP数据包时,就会在缓存表中创建一个对应MAC-IP的入口项。
 
  (2)所发送的伪造MAC-IP映射对的ip地址是非本地网的虚拟不存在的ip地址而且MAC地址也是虚拟变化的。发送这种类型的攻击数据包会引起交换机的CAM表溢出。由于交换机是通过学习进入各端口数据帧的源MAC地址来构建CAM表,将各端口和端口所连接主机的MAC地址的对应关系进行记录,因而可根据CAM表来决定数据帧发往哪个端口。如果攻击源持续向交换机发送大量有错误的MAC地址ARP数据包,就会破坏端口与MAC的对应关系,并导致CAM表溢出。在这种情形之下,缺少防范措施的交换机就会以广播的模式处理报文,形成泛洪向所有接口转发通信信息流。最终使得交换机变成HUB,将交换式的网络变成广播式的网络,使得网络带宽急剧下降。
 
  ARP欺骗种类
  (1)拒绝服务攻击:拒绝服务攻击就是使目标主机不能响应外界请求,从而不能对外提供服务的攻击方法。如果攻击者将目标主机ARP缓存中的MAC地址全部改为根本就不存在的地址,那么目标主机向外发送的所有以太网数据帧会丢失,使得上层应用忙于处理这种异常而无法响应外来请求,也就导致目标主机产生拒绝服务。
 
  (2)中间人攻击:中间人攻击就是攻击者将自己的主机插入两个目标主机通信路径之间,使他的主机如同两个目标主机通信路径上的一个中继,这样攻击者就可以监听两个目标主机之间的通信。例如局域网内的三台机子A、S、D,现在A要监听S与D之间的通信。攻击过程如下:A侵染目标主机S与D的ARP缓存,使得S向D发送数据时,使用的是D的IP地址与A的MAC地址,并且D向S发送数据时,使用的是S的IP地址与A的MAC地址,因此所有S与D之间的数据都将经过A,再由A转发给他们。如果攻击者对一个目标主机与它所在局域网的路由器实施中间人攻击,那么攻击者就可以截取Internet与这个目标主机的之间的全部通信。
 
  (3)多主机欺骗:篡改被攻击主机群中关于网络内某一台主机X的ARP记录,被攻击的主机群为网络中的多台主机而非一台主机。主机X为网关或网络内任何一台非网关的正在运行主机。被篡改后的MAC地址可以为网络内正在运行的主机MAC地址或随机伪造的不存在主机的MAC地址。
 
  (4)全子网轮询欺骗:篡改被攻击主机X中关于网络内多台主机的ARP记录,这台被攻击的主机为网关或网络内任何一台非网关的主机,被篡改后的MAC地址可以为网络内正在运行的主机MAC地址或随机伪造的不存在主机的MAC地址。
 
  (5)网络监听:攻击主机利用上述多主机欺骗来仿冒网关,利用全子网轮询欺骗来篡改真正网关上关于局域网内所有主机的ARP缓存记录,从而实现对局域网内所有主机同外部网的通信进行监听。实现了在交换式网络环境中对网络通信的监听。
 
  ARP扫描攻击
  向局域网内的所有主机发送ARP请求,从而获得正在运行主机的ip和mac地址映射对。ARP扫描往往是为发动ARP攻击做准备。攻击源通过ARP扫描来获得所要攻击主机的ip和mac地址。从而为网络监听、盗取用户数据,实现隐蔽式攻击做准备。
 
  虚拟主机攻击
  通过在网络内虚拟构建网卡,将自己虚拟成网络内的一台主机,拥有虚拟的物理地址和ip地址。主要是通过在链路层捕获所有流经的ARP请求数据包进行分析,若是对虚拟主机的ARP请求就会发送对应虚拟物理地址的ARP响应,并且虚拟主机本身也会发送ARP请求。虚拟主机攻击会占用局域网内的IP地址资源,使得正常运行的主机发生ip地址冲突,并且局域网内的主机也无法正常获得ip地址。
 
  ARP攻击造成的现象
  ARP的攻击问题影响很大,局域网内一旦有ARP的攻击存在,会欺骗局域网内所有的主机和网关,让所有上网的流量必须经过ARP攻击者控制的主机。其它用户原来直接通过网关上网,现在却转由通过被控主机转发上网。由于被控主机性能和程序性能的影响,这种转发并不会非常流畅,因此就会导致用户上网的速度变慢甚至频繁断线。另外ARP欺骗需要不停地发送ARP应答包,会造成网络拥塞。而且网络节点间的连通也会出现异常。对于ARP欺骗攻击还会有其它表现,如出现网络内大面积账号丢失和数据失密等等。对于IP地址冲突攻击会使得主机不断弹出ip地址冲突的警告信息。


本文链接:http://www.ddvidc.com/sheji/603.html转载请注明。
标签:网络ARP攻击,协议漏洞