、什么是arp
地址解析協議(Address Resolution Protocol),其基本功能為透過目標設備的IP地址,查詢目標設備的MAC地址,以保證通信的順利進行。它是IPv4中網絡層必不可少的協議,不過在IPv6中已不再適用,并被鄰居發現協議(NDP)所替代。
說白了,就是把通過ip地址找到設備mac地址。
2、arp有什么作用
在計算機間通信的時候,計算機要知道目的計算機是誰(就像我們人交流一樣,要知道對方是誰),這中間需要涉及到MAC地址,而MAC是真正的電腦的唯一標識符。
為什么需要ARP協議呢?因為在OSI七層模型中,對數據從上到下進行封裝發送出去,然后對數據從下到上解包接收,但是上層(網絡層)關心的IP地址,下層關心的是MAC地址,這個時候就需要映射IP和MAC,通過ip地址找到mac地址。
二、arp命令的使用
arp的命令一般有三個用法,就是查詢顯示、添加記錄、與刪除記錄,這個在我們做網絡項目時經常會用到。
1、arp -a ,當你需要顯示當期ip地址對應的mac地址時使用
在命令提示符中輸入“arp -a”并回車;自動在緩存中,讀取IP地址和mac地址的對應關系表;
2、arp -s ,當你需要手動添加一條arp記錄時使用。
手工輸入一條ARP項目,格式為“ARP+空格+-a+IP地址+MAC地址”;
如下圖,我特意用arp -a查詢了ARP記錄
;
其實這個命令也叫作綁定mac地址的命令,例如一個公司的網絡,員工經常喜歡改自己電腦的ip地址,經常會造成ip地址混亂,無法管理,那么這個時候你只需要把它的ip地址與它電腦mac地址進行綁定,那么下次出現網絡故障,就可以直接mac地址定位到那幾臺電腦。
3、arp -d,當你覺得某條arp記錄有問題時,可以刪除。
功能為:刪除所有ARP記錄
其實如果想徹底清空ARP列表,需要您禁止所有網絡連接,否則網絡數據交互過程中仍然會產生新的ARP列表。
那么有朋友會問,這三條命令會有什么用呢?
其實用途挺大的,例如,當你網絡中出了問題,可能是有某些ip地址發生沖突了,mac對應的ip地址有誤,那么你可以對它進行刪除這條arp記錄,然后重新添加新的記錄,網絡問題就會得到解決。
三、什么arp攻擊
一、什么是arp攻擊
ARP協議的基本功能就是通過目標設備的IP地址,查詢目標設備的MAC地址,以保證通信的進行。基于ARP協議的這一工作特性,黑客向對方計算機不斷發送有欺詐性質的ARP數據包,數據包內包含有與當前設備重復的Mac地址,使對方在回應報文時,由于簡單的地址重復錯誤而導致不能進行正常的網絡通信。
二、arp地址如何防御
一般情況下,受到ARP攻擊的計算機會出現兩種現象:
A、不斷彈出“本機的XXX段硬件地址與網絡中的XXX段地址沖突”的對話框。
B、計算機不能正常上網,出現網絡中斷的癥狀。
這類情況,在我們監控系統中或者用戶較多的網絡中出現的比較多,經常會出現ip地址沖突等問題,那么如何預防呢?
對于監控或網絡系統中,一旦用戶較多,就需要劃分vlan或者對網絡進行端口隔離,避免受到arp攻擊后,擴散到其它設備上,通常有以下三個方法。
1、ARP雙向綁定
在pc端上 IP+mac 綁定, 在網絡設備(交換路由)上 采用ip+mac+端口綁定
網關也進行IP和mac的靜態綁定。
2、建立DHCP服務器
ARP攻擊一般先攻擊網關,將DHCP服務器建立在網關上,也可采用arp過濾的防火墻。
3、劃分安全區域
ARP廣播包是不能跨子網或網段傳播的,網段可以隔離廣播包。VLAN就是一個邏輯廣播域,通過VLAN技術可以在局域網中創建多個子網,就在局域網中隔離了廣播。。縮小感染范圍。 但是,安全域劃分太細會使局域網的管理和資源共享不方便。
三、出現了arp攻擊后如何解決
受到arp攻擊后,網絡可能已經斷了,時查看此對照表發現,網關的Mac地址改變了。
1、然后輸入 arp -a
可以看到所有網關的列表,但是正常情況下,應該只有一個網關,多出來的,肯定是arp攻擊發起者的電腦偽裝的網關。
2、然后arp -d.
清除所有網關,然后你的電腦會自己找網關。
3、在arp -a
列出新找的網關,如果仍有多個,再繼續arp -d。直到arp -a只出現一條記錄、
這個列表會顯示網關的IP地址和MAC地址,就是你的網關。
4、arp -s ,再重新綁定
輸入 arp -s xxx.xxx.xxx.xxx ab-cd-ef-gh-ij-kl
xxx.xxx.xxx.xxx表示網關的IP地址,ab-cd-ef-gh-ij-kl表示網關的MAC地址。
RP(Address Resolution Protocol,地址解析協議)是一個位于TCP/IP協議棧中的網絡層,負責將某個IP地址解析成對應的MAC地址。
ARP 病毒攻擊是局域網最常見的一種攻擊方式。由于TCP/IP協議存在的一些漏洞給ARP病毒有進行欺騙攻擊的機會,ARP利用TCP/IP協議的漏洞進行欺騙攻擊,現已嚴重影響到人們正常上網和通信安全。當局域網內的計算機遭到ARP的攻擊時,它就會持續地向局域網內所有的計算機及網絡通信設備發送大量的ARP欺騙數據包,如果不及時處理,便會造成網絡通道阻塞、網絡設備的承載過重、網絡的通訊質量不佳等情況。
角色 | 操作系統 | IP地址 | 所需工具 |
攻擊機 | Windows 10 專業版 | 192.168.119.74.1 | Arpspoof工具 |
靶機 | Windows 7 專業版 | 192.168.74.130 | Wireshark |
注:Arpspoof工具無需安裝,直接使用;Wireshark請參照環境部署安裝教程。
對于ARP攻擊來說,ARP攻擊是利用ARP協議設計時缺乏安全驗證漏洞來實現的,通過偽造ARP數據包來竊取合法用戶的通信數據,造成影響網絡傳輸速率和盜取用戶隱私信息等嚴重危害。 同時ARP攻擊分很多種,這里只是舉例了泛洪攻擊一種,這里的泛洪攻擊的效果是根據攻擊者的設備性能以及網絡情況而定,并不一定ARP百分百有效,而且現在防御ARP攻擊的手段也非常多,對于學習信息安全來說的話這是必備的知識點。
RP攻擊分泛洪攻擊和欺騙攻擊。第一類主要使目標機器中斷通信,無法連網;第二類主要是欺騙目標機器,轉發目標機器流量,也叫中間人攻擊。ARP攻擊有個要求是,必須與目標機器處于同一局域網中。
以下為本地實驗環境,僅供讀者了解技術原理、提升網絡安全防范水平。請各位讀者遵守國家網絡安全法,切勿以身試法。
1、向目標機器192.168.145.130,發起中間人攻擊。
2、圖中可見,造成目標機器“請求超時”,無法訪問互聯網。
3、使用ettercap配置目標機器,開始ARP毒化,可見捕獲到了目標機器的所有網絡流量,可用wireshark記錄所有流量。
4、開啟圖片捕獲工具driftnet,可捕獲到目標機器瀏覽的網絡圖片。
如何檢測與防范?
1、有成熟的ARP攻擊檢測產品,但大多是在交換機、防火墻處開展檢測,因為ARP的欺騙報文必經交換機和防火墻,所以在這層實現檢測比較可行。
2、一個初步的排查方法,是運行arp -a,查看本地的arp緩存,如果發現有多個IP地址(多臺機器)的物理地址相同,這其中還包含了DNS服務器的IP,這就有異常了。可以通過清除ARP緩存,并重新生成靜態ARP表記錄,重啟電腦使之生效。