啊~~~今天在图书馆看到了一篇介绍ARP攻击的文章,哈,很有意思,老奇妙了(虽然看不懂)。ARP最近很热门嘛,论坛上到处都是ARP警告~~~我也网上也搜集了一点ARP的信息,写篇日志,好骗点积分。
一、感染ARP欺骗木马现象:
该病毒主要通过ARP(地址解析协议)欺骗实施攻击和破坏行为,中毒现象表现为以下几点:
1. 使用校园网时会突然掉线,过一段时间后又恢复正常。
2. 用户频繁断网,IE浏览器频繁出错。
3. 一些常用软件出现故障。
4. 使用身份认证上网的用户,出现能够通过认证,但是无法上网的情况。
ARP病毒利用的是ARP Spoofing攻击原理。在局域网中,是通过ARP协议来完成IP地址转换为第二层物理地址(即MAC地址)的。ARP协议对网络安全具有重要的意义。通过伪造IP地址和MAC地址实现ARP欺骗,能够在网络中产生大量的ARP通信量使网络阻塞或者实现“man in the middle” 进行ARP重定向和嗅探攻击。
用伪造源MAC地址发送ARP响应包,对ARP高速缓存机制的攻击。
每个主机都用一个ARP高速缓存存放最近IP地址到MAC硬件地址之间的映射记录。默认情况下,ARP从缓存中读取IP-MAC条目,缓存中的IP-MAC条目是根据ARP响应包动态变化的。因此,只要网络上有ARP响应包发送到本机,即会更新ARP高速缓存中的IP-MAC条目。
攻击者只要持续不断的发出伪造的ARP响应包就能更改目标主机ARP缓存中的IP-MAC条目,造成网络中断或中间人攻击。
ARP协议并不只在发送了ARP请求才接收ARP应答。当计算机接收到ARP应答数据包的时候,就会对本地的ARP缓存进行更新,将应答中的IP和MAC地址存储在ARP缓存中。因此,B向A发送一个自己伪造的ARP应答,而这个应答中的数据为发送方IP地址是192.168.10.3(C的IP地址),MAC地址是DD-DD-DD-DD-DD-DD(C的MAC地址本来应该是CC-CC-CC-CC-CC-CC,这里被伪造了)。当A接收到B伪造的ARP应答,就会更新本地的ARP缓存(A可不知道被伪造了)。
当攻击源大量向局域网中发送虚假的ARP信息后,就会造成局域网中的机器ARP缓存的崩溃。
啊~~比较长,,,估计也没人看~~~顺便发一个ARP防火墙,可惜要是能搞个ARP病毒玩玩就好了
http://www.juexiang.com/soft/52718.htm