d2server:/home/kerberos# arp Address HWtype HWaddress Flags Mask Iface 211.161.17.254 ether 00:04:9A:AD:1C:0A C eth0 |
Address:主機(jī)的IP地址
Hwtype:主機(jī)的硬件類型
Hwaddress:主機(jī)的硬件地址
Flags Mask:記錄標(biāo)志,"C"表示arp高速緩存中的條目,"M"表示靜態(tài)的arp條目。
用"arp --a"命令可以顯示主機(jī)地址與IP地址的對(duì)應(yīng)表,也就是機(jī)器中所保存的arp緩存信息。這個(gè)高速緩存存放了最近Internet地址到硬件地址之間的映射記錄。高速緩存中每一項(xiàng)的生存時(shí)間一般為20分鐘,起始時(shí)間從被創(chuàng)建時(shí)開始算起。
d2server:/home/kerberos# arp -a (211.161.17.254) at 00:04:9A:AD:1C:0A [ether] on eth0 |
可以看到在緩存中有一條211.161.17.254相對(duì)應(yīng)的arp緩存條目。
d2server:/home/kerberos# telnet 211.161.17.21 Trying 211.161.17.21... Connected to 211.161.17.21. Escape character is '^]'. ^]. telnet>quit connetion closed. |
在執(zhí)行上面一條telnet命令的同時(shí),用tcpdump進(jìn)行****:
d2server:/home/kerberos# tcpdump -e dst host 211.161.17.21 tcpdump: listening on eth0 |
我們將會(huì)聽到很多包,我們?nèi)∨c我們arp協(xié)議相關(guān)的2個(gè)包:
1 0.0 00:D0:F8:0A:FB:83 FF:FF:FF:FF:FF:FF arp 60 who has 211.161.17.21 tell d2server 2 0.002344(0.0021)00:E0:3C:43:0D:24 00:D0:F8:0A:FB:83 arp 60 arp reply 211.161.17.21 is at 00:E0:3C:43:0D:24 |
在第1行中,源端主機(jī)(d2server)的硬件地址是00:D0:F8:0A:FB:83。目的端主機(jī)的硬件地址是FF:FF:FF:FF:FF:FF,這是一個(gè)以太網(wǎng)廣播地址。電纜上的每個(gè)以太網(wǎng)接口都要接收這個(gè)數(shù)據(jù)幀并對(duì)它進(jìn)行處理。
第1行中緊接著的一個(gè)輸出字段是arp,表明幀類型字段的值是0x0806,說(shuō)明此數(shù)據(jù)幀是一個(gè)ARP請(qǐng)求或回答。
在每行中,單詞后面的值60指的是以太網(wǎng)數(shù)據(jù)幀的長(zhǎng)度。由于ARP請(qǐng)求或回答的數(shù)據(jù)幀長(zhǎng)都是42字節(jié)(28字節(jié)的ARP數(shù)據(jù),14字節(jié)的以太網(wǎng)幀頭),因此,每一幀都必須加入填充字符以達(dá)到以太網(wǎng)的最小長(zhǎng)度要求:60字節(jié)。
第1行中的下一個(gè)輸出字段arp who-has表示作為ARP請(qǐng)求的這個(gè)數(shù)據(jù)幀中,目的I P地址是211.161.17.21的地址,發(fā)送端的I P地址是d2server的地址。tcpdump打印出主機(jī)名對(duì)應(yīng)的默認(rèn)I P地址。
從第2行中可以看到,盡管ARP請(qǐng)求是廣播的,但是ARP應(yīng)答的目的地址卻是211.161.17.21(00:E0:3C:43:0D:24)。ARP應(yīng)答是直接送到請(qǐng)求端主機(jī)的,而是廣播的。tcpdump打印出arp reply的字樣,同時(shí)打印出響應(yīng)者的主機(jī)ip和硬件地址。
在每一行中,行號(hào)后面的數(shù)字表示tcpdump收到分組的時(shí)間(以秒為單位)。除第1行外,每行在括號(hào)中還包含了與上一行的時(shí)間差異(以秒為單位)。
這個(gè)時(shí)候我們?cè)倏纯礄C(jī)器中的arp緩存:
d2server:/home/ke rberos# arp -a (211.161.17.254) at 00:04:9A:AD:1C:0A [ether] on eth0 (211.161.17.21) at 00:E0:3C:43:0D:24 [ether] on eth0 |
arp高速緩存中已經(jīng)增加了一條有關(guān)211.161.17.21的映射。
再看看其他的arp相關(guān)的命令:
d2server:/home/kerberos# arp -s 211.161.17.21 00:00:00:00:00:00 d2server:/home/kerberos# arp Address HWtype HWaddress Flags Mask Iface 211.161.17.254 ether 00:04:9A:AD:1C:0A C eth0 211.161.17.21 ether 00:00:00:00:00:00 CM eth0 d2server:/home/kerberos# arp -a (211.161.17.254) at 00:04:9A:AD:1C:0A [ether] on eth0 (211.161.17.21) at 00:00:00:00:00:00 [ether] PERM on eth0 |
可以看到我們用arp -s選項(xiàng)設(shè)置了211.161.17.21對(duì)應(yīng)的硬件地址為00:00:00:00:00:00,而且這條映射的標(biāo)志字段為CM,也就是說(shuō)我們手工設(shè)置的arp選項(xiàng)為靜態(tài)arp選項(xiàng),它保持不變沒(méi)有超時(shí),不像高速緩存中的條目要在一定的時(shí)間間隔后更新。
如果想讓手工設(shè)置的arp選項(xiàng)有超時(shí)時(shí)間的話,可以加上temp選項(xiàng)
d2server:/home/kerberos# arp -s 211.161.17.21 00:00:00:00:00:00 temp d2server:/home/kerberos# arp -a (211.161.17.254) at 00:04:9A:AD:1C:0A [ether] on eth0 (211.161.17.21) at 00:00:00:00:00:00 [ether] on eth0 d2server:/home/kerberos# arp Address HWtype HWaddress Flags Mask Iface 211.161.17.254 ether 00:04:9A:AD:1C:0A C eth0 211.161.17.21 ether 00:00:00:00:00:00 C eth0 |
可以看到標(biāo)志字段的靜態(tài)arp標(biāo)志"M"已經(jīng)去掉了,我們手工加上的是一條動(dòng)態(tài)條目。
請(qǐng)大家注意arp靜態(tài)條目與動(dòng)態(tài)條目的區(qū)別。
在不同的系統(tǒng)中,手工設(shè)置的arp靜態(tài)條目是有區(qū)別的。在linux和win2000中,靜態(tài)條目不會(huì)因?yàn)閭卧斓腶rp響應(yīng)包而改變,而動(dòng)態(tài)條目會(huì)改變。而在win98中,手工設(shè)置的靜態(tài)條目會(huì)因?yàn)槭盏絺卧斓腶rp響應(yīng)包而改變。
如果您想刪除某個(gè)arp條目(包括靜態(tài)條目),可以用下面的命令:
d2server:/home/kerberos# arp -d 211.161.17.21 d2server:/home/kerberos# arp -a (211.161.17.254) at 00:04:9A:AD:1C:0A [ether] on eth0 (211.161.17.21) at on eth0 |
可以看到211.161.17.21的arp條目已經(jīng)是不完整的了。
還有一些其他的命令,可以參考linux下的man文檔:d2server:/home/kerberos# man arp
3、ARP欺騙
我們先復(fù)習(xí)一下上面所講的ARP協(xié)議的原理。在實(shí)現(xiàn)TCP/IP協(xié)議的網(wǎng)絡(luò)環(huán)境下,一個(gè)ip包走到哪里,要怎么走是靠路由表定義,但是,當(dāng)ip包到達(dá)該網(wǎng)絡(luò)后,哪臺(tái)機(jī)器響應(yīng)這個(gè)ip包卻是靠該ip包中所包含的硬件mac地址來(lái)識(shí)別。也就是說(shuō),只有機(jī)器的硬件mac地址和該ip包中的硬件mac地址相同的機(jī)器才會(huì)應(yīng)答這個(gè)ip包,因?yàn)樵诰W(wǎng)絡(luò)中,每一臺(tái)主機(jī)都會(huì)有發(fā)送ip包的時(shí)候,所以,在每臺(tái)主機(jī)的內(nèi)存中,都有一個(gè) arp--> 硬件mac 的轉(zhuǎn)換表。通常是動(dòng)態(tài)的轉(zhuǎn)換表(該arp表可以手工添加靜態(tài)條目)。也就是說(shuō),該對(duì)應(yīng)表會(huì)被主機(jī)在一定的時(shí)間間隔后刷新。這個(gè)時(shí)間間隔就是ARP高速緩存的超時(shí)時(shí)間。
通常主機(jī)在發(fā)送一個(gè)ip包之前,它要到該轉(zhuǎn)換表中尋找和ip包對(duì)應(yīng)的硬件mac地址,如果沒(méi)有找到,該主機(jī)就發(fā)送一個(gè)ARP廣播包,于是,主機(jī)刷新自己的ARP緩存。然后發(fā)出該ip包。
了解這些常識(shí)后,現(xiàn)在就可以談在以太網(wǎng)絡(luò)中如何實(shí)現(xiàn)ARP欺騙了,可以看看這樣一個(gè)例子。
3.1 同一網(wǎng)段的ARP欺騙
標(biāo)簽:七臺(tái)河 杭州 棗莊 廣州 湘潭 恩施 賀州 成都
巨人網(wǎng)絡(luò)通訊聲明:本文標(biāo)題《ARP欺騙攻擊原理深入說(shuō)明分析》,本文關(guān)鍵詞 ARP,欺騙,攻擊,原理,深入,;如發(fā)現(xiàn)本文內(nèi)容存在版權(quán)問(wèn)題,煩請(qǐng)?zhí)峁┫嚓P(guān)信息告之我們,我們將及時(shí)溝通與處理。本站內(nèi)容系統(tǒng)采集于網(wǎng)絡(luò),涉及言論、版權(quán)與本站無(wú)關(guān)。
