目前,ARP攻击和ARP病毒越来越影响网络的正常使用。在这里简单谈一谈ARP攻击的原理和防范方法。
ARP 是TCP/IP suite中的一个协议,它的作用是查询某主机或设备的48bit的MAC地址和查询某一MAC地址设备的IP地址(RARP)。
ARP包分和,ARP请求为广播包,ARP应答为单播包。ARP有个特点,就算没有ARP请求也可以利用ARP应答去更新其它机器的ARP CACHE内的记录。现在大多数的网络管理监控和病毒都是利用的这个特点。如网路岗、P2P终结者、MSN监控软件、QQ监控软件等。
过程如下。
1。软件或病毒先根据host的IP子网发ARP请求,记录子网内所有机器的IP和MAC。
2。发送伪造的ARP应答包到1中所有机器以更新他们的ARP记录。伪造的ARP应答包中目标方的IP和MAC地址为1中记录的相应的机器的地址,发送方的IP地址为子网的网关地址,MAC地址为的地址。而且通常安装了网络管理监控软件或病毒的host会以极小的间隔以轮训方式发送伪造的ARP应答包以确保ARP记录的更新。这会浪费大量的带宽,也会增加collision。
3。子网内的其它机器(除了中病毒或安装了网络管理监控软件的机器)上网时会发的包会先发送到病毒主机,然后病毒主机再转发到真正的网关。在次过程中病毒主机就可以监控、分析传送的内容了。
温馨提示:答案为网友推荐,仅供参考