ARP攻擊-制造IP地址沖突

在之前的一篇文章《有了IP和MAC， 為什么還需要ARP？》中， 小編簡單介紹了這三者之間的關(guān)系， 以及ARP協(xié)議在網(wǎng)絡(luò)通訊中所起的作用。 ARP協(xié)議對網(wǎng)絡(luò)安全具有重要的意義， 默認情況下， ARP從緩存中讀取IP-MAC條目， 緩存中的IP-MAC條目是根據(jù)ARP響應(yīng)包動態(tài)變化的。 因此， 只要網(wǎng)絡(luò)上有ARP響應(yīng)包發(fā)送到本機， 即會更新ARP高速緩存中的IP-MAC條目。 攻擊者只要持續(xù)不斷的發(fā)出偽造的ARP響應(yīng)包就能更改目標(biāo)主機ARP緩存中的IP-MAC條目， 造成網(wǎng)絡(luò)中斷或中間人攻擊。

　　通常坐在計算機前面的用戶更加關(guān)心IP地址， 而非MAC地址。 比如我們?nèi)绻�需要訪問某個共享目錄時， 在地址欄輸入的一般都是IP地址， 但對于以太網(wǎng)中的計算機來講， 在通訊時實際所依懶的并非是IP地址， 而是MAC地址。 以太網(wǎng)中的計算機在發(fā)送數(shù)據(jù)前， 都會先檢查自己的ARP緩存表， 試圖將用戶所請求的IP地址翻譯為相對應(yīng)的MAC地址， 但這張表并不完全， 所以它采用了動態(tài)更新機制， 通過主機向以太網(wǎng)發(fā)送廣播并收到目標(biāo)主機的回應(yīng)（單播形式）來建立ARP緩存表， 同時其還具有“老化”機制， 一段時間之后緩存記錄會被刪除， 使緩存表始終維持在一個較小的狀態(tài)， 這樣做的好處很明顯， 小編也就不再此多說了。

　　ARP緩存表的更新機制很高效， 但存在的風(fēng)險也同樣明顯。 因為當(dāng)計算機收到任何ARP Reply數(shù)據(jù)包時都會更新自己ARP緩存表中的記錄， 而不管這個Reply數(shù)據(jù)包是否合法。 換句話說， 就算計算機沒有發(fā)出過ARP Request數(shù)據(jù)包， 但它對收到的ARP Reply數(shù)據(jù)包也是“照單全收”的， 計算機無法較驗收到的某條“對應(yīng)關(guān)系記錄”是不是真實的， 但這條記錄卻會被計算機放在自己的ARP緩存表中， 以備使用。

　　ARP Request / Reply數(shù)據(jù)包的格式如上圖所示， Request包中 “以太網(wǎng)目的地址”為0xffffffffffff廣播地址， “以太網(wǎng)源地址”為本機網(wǎng)卡的MAC地址， “幀類型”為0x0806表示ARP應(yīng)答或請求， ARP 包類型1為ARP請求包， 2為ARP應(yīng)答包， “發(fā)送端以太網(wǎng)地址”為發(fā)送者的MAC地址， “發(fā)送端IP”為發(fā)送者的IP地址， “目的以太網(wǎng)地址”這里為0x000000000000， “目的IP”為查詢MAC地址的IP。 理解了ARP的工作原理后， 只要有意圖的填充上圖中的某些字段， 即可達到ARP攻擊的效果， 其中就抱括造成IP地址沖突。 IP地址沖突。 計算機檢測本機IP地址是否在網(wǎng)上被使用的方法是用本機IP地址作為目的IP地址， 發(fā)送ARP Request包， 如果收到應(yīng)答， 則說明本IP地址已經(jīng)在網(wǎng)上被使用， 彈出IP地址被使用對話框， 釋放出本機的IP地址。 ARP攻擊者利用這一原理， 用任意的MAC地址（非被攻擊者真實的MAC地址）填充“發(fā)送端以太網(wǎng)地址”字段， 用被攻擊者的IP地址填充“發(fā)送端IP”字段， 用被攻擊者的真實MAC地址填充“目的以太網(wǎng)地址”字段， 用被攻擊者的IP地址填充“目的IP”字段， ARP包類型為“2”。 如下面的ARP Reply 數(shù)據(jù)包截圖， 當(dāng)被攻擊者收到這樣的ARP應(yīng)答后， 就認為本機的IP地址在網(wǎng)絡(luò)上已經(jīng)被使用， 彈出IP地址沖突對話框。

ARP Request數(shù)據(jù)包

ARP Reply 數(shù)據(jù)包