本文目录一览

1,ARP工作原理

通过路由,找到IP所在的网段,然后通过MAC地址表找到相对应的mac地址
arp协议的基本功能就是通过目标设备的ip地址,查询目标设备的mac地址,以保证通信的进行。 基于arp协议的这一工作特性,黑客向对方计算机不断发送有欺诈性质的arp数据包,数据包内包含有与当前设备重复的mac地址,使对方在回应报文时,由于简单的地址重复错误而导致不能进行正常的网络通信。一般情况下,受到arp攻击的计算机会出现两种现象: 1.不断弹出“本机的xxx段硬件地址与网络中的xxx段地址冲突”的对话框。 2.计算机不能正常上网,出现网络中断的症状。 因为这种攻击是利用arp请求报文进行“欺骗”的,所以防火墙会误以为是正常的请求数据包,不予拦截。因此普通的防火墙很难抵挡这种攻击。

ARP工作原理

2,arp工作原理及怎样进行arp攻击

arp 工作原理 将ip地址翻译成mac地址比如 a机 要与 b机通讯 在局域网中 处在 数据链路层这个层 之间的 主机互相通讯是 通过 mac地址 互相区分的 所以 主机a 与主机b通讯 主机a 知道主机b的 ip地址是 不能 通讯的 那么 主机a就要 用 arp 协议 通过 广播的 方式 去 寻找主机 b的 mac地址 当主机b 接收到 arp的 广播后 就会主动 与 主机a联系 并 告知 主机a主机b的 mac地址 是 什么 这样 主机a知道了 主机b的 mac地址后 就可以 顺利的 与 主机b通讯了 进行 arp攻击 最 直接的 方法 就是 使用 局域网中的 一台机器 去 欺骗 这个 局域网里的 其他 机器 让 他们 相信 你 使用 的 这台机器 就是 其他机器想要保持 通讯的 网关

arp工作原理及怎样进行arp攻击

3,试述arp的工作原理

首先,每台主机都会在自己的ARP缓冲区中建立一个 ARP列表,以表示IP地址和MAC地址的对应关系。当源主机需要将一个数据包要发送到目的主机时,会首先检查自己 ARP列表中是否存在该 IP地址对应的MAC地址,如果有,就直接将数据包发送到这个MAC地址;如果没有,就向本地网段发起一个ARP请求的广播包,查询此目的主机对应的MAC地址。此ARP请求数据包里包括源主机的IP地址、硬件地址、以及目的主机的IP地址。网络中所有的主机收到这个ARP请求后,会检查数据包中的目的IP是否和自己的IP地址一致。如果不相同就忽略此数据包;如果相同,该主机首先将发送端的MAC地址和IP地址添加到自己的ARP列表中,如果ARP表中已经存在该IP的信息,则将其覆盖,然后给源主机发送一个 ARP响应数据包,告诉对方自己是它需要查找的MAC地址;源主机收到这个ARP响应数据包后,将得到的目的主机的IP地址和MAC地址添加到自己的ARP列表中,并利用此信息开始数据的传输。如果源主机一直没有收到ARP响应数据包,表示ARP查询失败。 例如: A的地址为:IP:192.168.10.1 MAC: AA-AA-AA-AA-AA-AA B的地址为:IP:192.168.10.2 MAC: BB-BB-BB-BB-BB-BB 根据上面的所讲的原理,我们简单说明这个过程:A要和B通讯,A就需要知道B的以太网地址,于是A发送一个ARP请求广播(谁是192.168.10.2 ,请告诉192.168.10.1),当B收到该广播,就检查自己,结果发现和自己的一致,然后就向A发送一个ARP单播应答(192.168.10.2 在BB-BB-BB-BB-BB-BB)。

试述arp的工作原理

4,什么是ARP欺骗试述ARP欺骗实现原理

由于局域网的网络流通不是根据IP地址进行,而是按照MAC地址进行传输。所以,那个伪造出来的MAC地址在A上被改变成一个不存在的MAC地址,这样就会造成网络不通,导致A不能Ping通C!这就是一个简单的ARP欺骗。首先,每台主机都会在自己的ARP缓冲区中建立一个 ARP列表,以表示IP地址和MAC地址的对应关系。当源主机需要将一个数据包要发送到目的主机时,会首先检查自己 ARP列表中是否存在该 IP地址对应的MAC地址,如果有,就直接将数据包发送到这个MAC地址;如果没有,就向本地网段发起一个ARP请求的广播包,查询此目的主机对应的MAC地址。此ARP请求数据包里包括源主机的IP地址、硬件地址、以及目的主机的IP地址。网络中所有的主机收到这个ARP请求后,会检查数据包中的目的IP是否和自己的IP地址一致。如果不相同就忽略此数据包;如果相同,该主机首先将发送端的MAC地址和IP地址添加到自己的ARP列表中,如果ARP表中已经存在该IP的信息,则将其覆盖,然后给源主机发送一个 ARP响应数据包,告诉对方自己是它需要查找的MAC地址;源主机收到这个ARP响应数据包后,将得到的目的主机的IP地址和MAC地址添加到自己的ARP列表中,并利用此信息开始数据的传输。如果源主机一直没有收到ARP响应数据包,表示ARP查询失败。 例如: A的地址为:IP:192.168.10.1 MAC: AA-AA-AA-AA-AA-AA B的地址为:IP:192.168.10.2 MAC: BB-BB-BB-BB-BB-BB 根据上面的所讲的原理,我们简单说明这个过程:A要和B通讯,A就需要知道B的以太网地址,于是A发送一个ARP请求广播(谁是192.168.10.2 ,请告诉192.168.10.1),当B收到该广播,就检查自己,结果发现和自己的一致,然后就向A发送一个ARP单播应答(192.168.10.2 在BB-BB-BB-BB-BB-BB)。
什么是arp arp(address resolution protocol)是地址解析协议,是一种将ip地址转化成物理地址的协议。从ip地址到物理地址的映射有两种方式:表格方式和非表格方式。arp具体说来就是将网络层(也就是相当于osi的第三层)地址解析为数据链路层(也就是相当于osi的第二层)的物理地址(注:此处物理地址并不一定指mac地址)。 arp原理:某机器a要向主机b发送报文,会查询本地的arp缓存表,找到b的ip地址对应的mac地址后,就会进行数据传输。如果未找到,则广播a一个arp请求报文(携带主机a的ip地址ia——物理地址pa),请求ip地址为ib的主机b回答物理地址pb。网上所有主机包括b都收到arp请求,但只有主机b识别自己的ip地址,于是向a主机发回一个arp响应报文。其中就包含有b的mac地址,a接收到b的应答后,就会更新本地的arp缓存。接着使用这个mac地址发送数据(由网卡附加mac地址)。因此,本地高速缓存的这个arp表是本地网络流通的基础,而且这个缓存是动态的。 arp协议并不只在发送了arp请求才接收arp应答。当计算机接收到arp应答数据包的时候,就会对本地的arp缓存进行更新,将应答中的ip和mac地址存储在arp缓存中。因此,当局域网中的某台机器b向a发送一个自己伪造的arp应答,而如果这个应答是b冒充c伪造来的,即ip地址为c的ip,而mac地址是伪造的,则当a接收到b伪造的arp应答后,就会更新本地的arp缓存,这样在a看来c的ip地址没有变,而它的mac地址已经不是原来那个了。由于局域网的网络流通不是根据ip地址进行,而是按照mac地址进行传输。所以,那个伪造出来的mac地址在a上被改变成一个不存在的mac地址,这样就会造成网络不通,导致a不能ping通c!这就是一个简单的arp欺骗。 arp欺骗的种类 arp欺骗是黑客常用的攻击手段之一,arp欺骗分为二种,一种是对路由器arp表的欺骗;另一种是对内网pc的网关欺骗。 第一种arp欺骗的原理是——截获网关数据。它通知路由器一系列错误的内网mac地址,并按照一定的频率不断进行,使真实的地址信息无法通过更新保存在路由器中,结果路由器的所有数据只能发送给错误的mac地址,造成正常pc无法收到信息。第二种arp欺骗的原理是——伪造网关。它的原理是建立假网关,让被它欺骗的pc向假网关发数据,而不是通过正常的路由器途径上网。在pc看来,就是上不了网了,“网络掉线了”。 一般来说,arp欺骗攻击的后果非常严重,大多数情况下会造成大面积掉线。有些网管员对此不甚了解,出现故障时,认为pc没有问题,交换机没掉线的“本事”,电信也不承认宽带故障。而且如果第一种arp欺骗发生时,只要重启路由器,网络就能全面恢复,那问题一定是在路由器了。为此,宽带路由器背了不少“黑锅”。

5,ARP的原理

主机A的IP地址为192.168.1.1,MAC地址为0A-11-22-33-44-01;主机B的IP地址为192.168.1.2,MAC地址为0A-11-22-33-44-02;当主机A要与主机B通信时,地址解析协议可以将主机B的IP地址(192.168.1.2)解析成主机B的MAC地址,以下为工作流程:第1步:根据主机A上的路由表内容,IP确定用于访问主机B的转发IP地址是192.168.1.2。然后A主机在自己的本地ARP缓存中检查主机B的匹配MAC地址。第2步:如果主机A在ARP缓存中没有找到映射,它将询问192.168.1.2的硬件地址,从而将ARP请求帧广播到本地网络上的所有主机。源主机A的IP地址和MAC地址都包括在ARP请求中。本地网络上的每台主机都接收到ARP请求并且检查是否与自己的IP地址匹配。如果主机发现请求的IP地址与自己的IP地址不匹配,它将丢弃ARP请求。第3步:主机B确定ARP请求中的IP地址与自己的IP地址匹配,则将主机A的IP地址和MAC地址映射添加到本地ARP缓存中。第4步:主机B将包含其MAC地址的ARP回复消息直接发送回主机A。第5步:当主机A收到从主机B发来的ARP回复消息时,会用主机B的IP和MAC地址映射更新ARP缓存。本机缓存是有生存期的,生存期结束后,将再次重复上面的过程。主机B的MAC地址一旦确定,主机A就能向主机B发送IP通信了。 ARP缓存是个用来储存IP地址和MAC地址的缓冲区,其本质就是一个IP地址-->MAC地址的对应表,表中每一个条目分别记录了网络上其他主机的IP地址和对应的MAC地址。每一个以太网或令牌环网络适配器都有自己单独的表。当地址解析协议被询问一个已知IP地址节点的MAC地址时,先在ARP缓存中查看,若存在,就直接返回与之对应的MAC地址,若不存在,才发送ARP请求向局域网查询。为使广播量最小,ARP维护IP地址到MAC地址映射的缓存以便将来使用。ARP缓存可以包含动态和静态项目。动态项目随时间推移自动添加和删除。每个动态ARP缓存项的潜在生命周期是10分钟。新加到缓存中的项目带有时间戳,如果某个项目添加后2分钟内没有再使用,则此项目过期并从ARP缓存中删除;如果某个项目已在使用,则又收到2分钟的生命周期;如果某个项目始终在使用,则会另外收到2分钟的生命周期,一直到10分钟的最长生命周期。静态项目一直保留在缓存中,直到重新启动计算机为止。 地址解析协议是通过报文工作的。报文包括如下字段: ARP报文格式  硬件类型  协议类型硬件地址长度  协议长度操作类型发送方硬件地址(0-3字节)发送方硬件地址(4-5字节)发送方IP地址(0-1字节)  发送方IP地址(2-3字节)目标硬件地址(0-1字节)目标硬件地址(2-5字节)目标IP地址(0-3字节)硬件类型:指明了发送方想知道的硬件接口类型,以太网的值为1;协议类型:指明了发送方提供的高层协议类型,IP为0800(16进制);硬件地址长度和协议长度:指明了硬件地址和高层协议地址的长度,这样ARP报文就可以在任意硬件和任意协议的网络中使用;操作类型:用来表示这个报文的类型,ARP请求为1,ARP响应为2,RARP请求为3,RARP响应为4;发送方硬件地址(0-3字节):源主机硬件地址的前3个字节;发送方硬件地址(4-5字节):源主机硬件地址的后3个字节;发送方IP地址(0-1字节):源主机硬件地址的前2个字节;发送方IP地址(2-3字节):源主机硬件地址的后2个字节;目标硬件地址(0-1字节):目的主机硬件地址的前2个字节;目标硬件地址(2-5字节):目的主机硬件地址的后4个字节;目标IP地址(0-3字节):目的主机的IP地址。
在任何时候,当主机或路由器有数据报要发送给另一个主机或路由器时,它必须有接收站的逻辑(ip)地址。但是ip数据报必须封装成帧才能通过物理网络。这就表示,发送站必须有接收站的物理地址。因此需要一个从逻辑地址到物理地址的映射。 如我们在前面讲过的,使用静态映射和动态映射都可以做到这点。逻辑地址和物理地址之间的关联可以静态的存储在一个表中,发送站可在表中查找出对应于逻辑地址的物理地址,但我们在前面已讨论过,这不是一个很好的解决方法。每当物理地址发生变化时,这个表就必须更新。频繁的在所有机器上对表进行更新是非常麻烦的任务。 但这种映射可以做成为动态的,即发送站在需要时可以请求接收站宣布其物理地址。arp就是为此目的而设计的。 arp将一个ip地址与其物理地址关连起来。在典型的物理网络上,如局域网,链路上的每一个设备通常是用写在nic(网络接口卡)中的物理地址来标识。 任何时候当主机或路由器需要找出另一个主机或路由器在此网络上的物理地址时,它就发送一个arp查询分组。这个分组包括发送站的物理地址和ip地址,以及接收站的ip地址。因为发送站不知道接收站的物理地址,查询就在网络上广播。 每一个在网络上的主机或路由器都接收和处理这个arp查询分组,但只有目的接受者才识别其ip地址,并发回arp响应分组。这个分组直接用单播发送给查询者,并使用接收到的查询分组中所用的物理地址。 这里有一点要注意:每个arp广播中都包含发送方的ip地址到物理地址的绑定;接收方在处理arp分组之前,先更新它们缓存中的ip到物理地址的绑定信息。 左边的系统(a)有一个分组要交付给ip地址为141.23.56.23的另一个系统(b)。系统a需要将分组传递给它的数据链路层进行实际的交付,但它不知道接收者的物理地址。它使用arp的服务,请求arp协议发送一个广播arp请求分组,以查询ip地址为141.23.56.23的系统的物理地址。 在该物理网络上的每一个系统都接收到此分组,但只有系统b才回答。现在系统a就可以使用接收到的物理地址来发送所有的到此目的地的分组。

6,arp原理是什么

你说的基本上是对的,就是因为路由器能找不到它的信息而它的信息能发到路由器所以造成不能上网已达到欺骗的效果所以最好给自己的机子装上arp防火墙我肯定你的说法呵呵
arp攻击分为两种一种是欺骗内网客户端,即中arp病毒的这台主机以很高的频率想局域网中不断地发送错误的网关MAC-IP对应关系(向局域网中的其他主机发送广播说自己是网关)结果局域网中的其他主机将数据包都发向该中毒主机最终导致数据发送不出去而掉线;另一种是欺骗网关,即中毒的这台机器以高频率持续地向网关发送错误的内网客户端mac-ip对应关系以改变网关的arp表(即告诉网关下面客户端的mac对应得ip地址都是自己)导致内网发送到公网的数据在返回时都返回到中毒的这台主机上,最终导致内网的客户端无法接受公网返回的数据而显示掉线。 目前市场上解决arp问题比较彻底的是欣向的免疫墙路由器,它独有的免疫网路解决方案能够彻底解决arp攻击问题。欣向的免疫墙路由器具有先天免疫功能,通过对协议的改动将nat表和arp表融合,当有arp请求时将直接查询nat表,使针对网关arp表的欺骗完全失去作用。终端装有免疫网卡驱动,直接读取烧录在网卡上的mac地址,保证正确。过滤恶意的arp数据包以及其他常见的洪水攻击,使网络保持畅通。
不错,已经说的很详细了
一、arp病毒 arp地址欺骗类病毒(以下简称arp病毒)是一类特殊的病毒,该病毒一般属于木马(trojan)病毒,不具备主动传播的特性,不会自我复制。但是由于其发作的时候会向全网发送伪造的arp数据包,干扰全网的运行,因此它的危害比一些蠕虫还要严重得多。 二、arp病毒发作时的现象 网络掉线,但网络连接正常,内网的部分pc机不能上网,或者所有电脑不能上网,无法打开网页或打开网页慢,局域网时断时续并且网速较慢等。 三、arp病毒原理 3.1 网络模型简介 众所周知,按照osi (open systems interconnection reference model 开放系统互联参考模型) 的观点,可将网络系统划分为7层结构,每一个层次上运行着不同的协议和服务,并且上下层之间互相配合,完成网络数据交换的功能,如图1: 图1 osi网络体系模型 然而,osi的模型仅仅是一个参考模型,并不是实际网络中应用的模型。实际上应用最广泛的商用网络模型即tcp/ip体系模型,将网络划分为四层,每一个层次上也运行着不同的协议和服务,如图2。 图2 tcp/ip四层体系模型及其配套协议 上图中,蓝色字体表示该层的名称,绿色字表示运行在该层上的协议。由图2可见,我们即将要讨论的arp协议,就是工作在网际层上的协议。 3.2 arp协议简介 我们大家都知道,在局域网中,一台主机要和另一台主机进行通信,必须要知道目标主机的ip地址,但是最终负责在局域网中传送数据的网卡等物理设备是不识别ip地址的,只能识别其硬件地址即mac地址。mac地址是48位的,通常表示为12个16进制数,每2个16进制数之间用“-”或者冒号隔开,如:00-0b-2f-13-1a-11就是一个mac地址。每一块网卡都有其全球唯一的mac地址,网卡之间发送数据,只能根据对方网卡的mac地址进行发送,这时就需要一个将高层数据包中的ip地址转换成低层mac地址的协议,而这个重要的任务将由arp协议完成。 arp全称为address resolution protocol,地址解析协议。所谓“地址解析”就是主机在发送数据包前将目标主机ip地址转换成目标主机mac地址的过程。arp协议的基本功能就是通过目标设备的ip地址,查询目标设备的mac地址,以保证通信的顺利进行。 这时就涉及到一个问题,一个局域网中的电脑少则几台,多则上百台,这么多的电脑之间,如何能准确的记住对方电脑网卡的mac地址,以便数据的发送呢?这就涉及到了另外一个概念,arp缓存表。在局域网的任何一台主机中,都有一个arp缓存表,该表中保存这网络中各个电脑的ip地址和mac地址的对照关系。当这台主机向同局域网中另外的主机发送数据的时候,会根据arp缓存表里的对应关系进行发送。 下面,我们用一个模拟的局域网环境,来说明arp欺骗的过程。 3.3 arp欺骗过程 假设一个只有三台电脑组成的局域网,该局域网由交换机(switch)连接。其中一个电脑名叫a,代表攻击方;一台电脑叫s,代表源主机,即发送数据的电脑;令一台电脑名叫d,代表目的主机,即接收数据的电脑。这三台电脑的ip地址分别为192.168.0.2,192.168.0.3,192.168.0.4。mac地址分别为mac_a,mac_s,mac_d。其网络拓扑环境如图3。 图3 网络拓扑 现在,s电脑要给d电脑发送数据了,在s电脑内部,上层的tcp和udp的数据包已经传送到了最底层的网络接口层,数据包即将要发送出去,但这时还不知道目的主机d电脑的mac地址mac_d。这时候,s电脑要先查询自身的arp缓存表,查看里面是否有192.168.0.4这台电脑的mac地址,如果有,那很好办,就将 封装在数据包的外面。直接发送出去即可。如果没有,这时s电脑要向全网络发送一个arp广播包,大声询问:“我的ip是192.168.0.3,硬件地址是mac_s,我想知道ip地址为192.168.0.4的主机的硬件地址是多少?” 这时,全网络的电脑都收到该arp广播包了,包括a电脑和d电脑。a电脑一看其要查询的ip地址不是自己的,就将该数据包丢弃不予理会。而d电脑一看ip地址是自己的,则回答s电脑:“我的ip地址是192.168.0.4,我的硬件地址是mac_d”需要注意的是,这条信息是单独回答的,即d电脑单独向s电脑发送的,并非刚才的广播。现在s电脑已经知道目的电脑d的mac地址了,它可以将要发送的数据包上贴上目的地址mac_d,发送出去了。同时它还会动态更新自身的arp缓存表,将192.168.0.4-mac_d这一条记录添加进去,这样,等s电脑下次再给d电脑发送数据的时候,就不用大声询问发送arp广播包了。这就是正常情况下的数据包发送过程。 这样的机制看上去很完美,似乎整个局域网也天下太平,相安无事。但是,上述数据发送机制有一个致命的缺陷,即它是建立在对局域网中电脑全部信任的基础上的,也就是说它的假设前提是:无论局域网中那台电脑,其发送的arp数据包都是正确的。那么这样就很危险了!因为局域网中并非所有的电脑都安分守己,往往有非法者的存在。比如在上述数据发送中,当s电脑向全网询问“我想知道ip地址为192.168.0.4的主机的硬件地址是多少?”后,d电脑也回应了自己的正确mac地址。但是当此时,一向沉默寡言的a电脑也回话了:“我的ip地址是192.168.0.4,我的硬件地址是mac_a” ,注意,此时它竟然冒充自己是d电脑的ip地址,而mac地址竟然写成自己的!由于a电脑不停地发送这样的应答数据包,本来s电脑的arp缓存表中已经保存了正确的记录:192.168.0.4-mac_d,但是由于a电脑的不停应答,这时s电脑并不知道a电脑发送的数据包是伪造的,导致s电脑又重新动态更新自身的arp缓存表,这回记录成:192.168.0.4-mac_a,很显然,这是一个错误的记录(这步也叫arp缓存表中毒),这样就导致以后凡是s电脑要发送给d电脑,也就是ip地址为192.168.0.4这台主机的数据,都将会发送给mac地址为mac_a的主机,这样,在光天化日之下,a电脑竟然劫持了由s电脑发送给d电脑的数据!这就是arp欺骗的过程。 如果a这台电脑再做的“过分”一些,它不冒充d电脑,而是冒充网关,那后果会怎么样呢?我们大家都知道,如果一个局域网中的电脑要连接外网,也就是登陆互联网的时候,都要经过局域网中的网关转发一下,所有收发的数据都要先经过网关,再由网关发向互联网。在局域网中,网关的ip地址一般为192.168.0.1。如果a这台电脑向全网不停的发送arp欺骗广播,大声说:“我的ip地址是192.168.0.1,我的硬件地址是mac_a”这时局域网中的其它电脑并没有察觉到什么,因为局域网通信的前提条件是信任任何电脑发送的arp广播包。这样局域网中的其它电脑都会更新自身的arp缓存表,记录下192.168.0.1-mac_a这样的记录,这样,当它们发送给网关,也就是ip地址为192.168.0.1这台电脑的数据,结果都会发送到mac_a这台电脑中!这样,a电脑就将会监听整个局域网发送给互联网的数据包! 实际上,这种病毒早就出现过,这就是arp地址欺骗类病毒。一些传奇木马(trojan/psw.lmir)具有这样的特性,该木马一般通过传奇外挂、网页木马等方式使局域网中的某台电脑中毒,这样中毒电脑便可嗅探到整个局域网发送的所有数据包,该木马破解了《传奇》游戏的数据包加密算法,通过截获局域网中的数据包,分析数据包中的用户隐私信息,盗取用户的游戏帐号和密码。在解析这些封包之后,再将它们发送到真正的网关。这样的病毒有一个令网吧游戏玩家闻之色变的名字:“传奇网吧杀手” 如果你还有问题的话,你可以找当地的网络管理人员和技术人员进行修理!
http://baike.baidu.com/view/700129.htm这里不是解释的很清楚吗!总的来说是局域网中有多个MAC地址和一个IP绑定了,导致数据包狂发
ARP攻击的克星——免疫墙,目前唯一能彻底解决的就是免疫墙技术了,通过免疫墙技术部署免疫网络解决方案。免疫网络解决方案,对你的网络不需要做大的改动,可以用免疫墙设置策略,不装驱动不让上网,装了就拦截。就能直接从从网卡上面拦截每一台电脑发出的病毒攻击,进行统一管理,网络管理员只有一个,还能监控整个内网电脑的上网状况,有异常情况准确定位报警。

文章TAG:arp工作原理  ARP工作原理  
下一篇