按键盘上方向键 ← 或 → 可快速上下翻页,按键盘上的 Enter 键可回到本书目录页,按键盘上方向键 ↑ 可回到本页顶部!
————未阅读完?加入书签已便下次继续阅读!
就会先来查询本地的ARP缓存表,如果找到主机B的IP地址对应的MAC地址00…73…44…60…db…69,就会进行数据传输。但如果在ARP缓存表里面没有目标的IP地址,主机A就会在网络上发送一个广播,A主机MAC地址是“00…aa…01…75…c3…06”,这表示向同一网段内的所有主机发出这样的询问:“我是192。168。1。3,我的物理地址是“00…aa…01…75…c3…06”,请问IP地址为192。168。0。7的MAC地址是什么?”网络上的所有主机包括主机B都收到这个ARP请求,但只有主机B识别自己的IP地址,于是向A主机发回一个ARP响应报文,告诉主机A它的MCA地址是00…73…44…60…db…69。
主机A知道了主机B的MAC地址后,就可以进行数据传输了,同时,还会更新本地的ARP缓存表。当主机A再次向B发送数据时,就可以直接在ARP缓存表中找到主机B的MAC地址,使用它发送数据。
因此,本地高速缓存的这个ARP表是本地网络流通的基础,而且这个缓存是动态的。ARP表使用老化机制,会自动删除在一段时间内没有使用过的IP与MAC地址的映射关系,这样可以大大减少ARP缓存表的长度,加快查询速度。
10。2。3如何查看和清除ARP表
在Windows下查看ARP缓存信息最简单的方法就是通过CMD命令行来完成。
在命令提示符窗口的命令提示符下输入命令“asp…a”,就可以查看ARP缓存表中的内容。
不仅可以查看ARP缓存表,还可以根据需要修改或清除ARP表中的内容。在命令提示符下,在其中输入命令“arp…d+空格+”,即可删除指定IP所在行的内容;在其中输入命令“arp–d”,即可删除ARP缓存表里的所有内容;在其中输入命令“arp…s”,即可手动在ARP表中指定IP地址与MAC地址的对应,类型为static(静态)。
该项并没有存储在ARP缓存表中,而是存储在硬盘中,计算机重新启动后仍然存在,且遵循静态优于动态的原则,因此,这个设置非常重要。如果设置不正确,可能会导致用户无法上网。
10。2。4遭遇ARP攻击后的现象
遭遇ARP欺骗攻击的后果非常严重,大多数情况下会造成大面积掉线。当局域网内某台主机运行ARP欺骗的木马程序时,会欺骗局域网内所有主机和安全网关,让所有上网的流量必须经过病毒主机。这就可能导致局域网内的用户突然掉线,过一段时间后又会恢复正常。
在此期间,用户的主机还可能会出现频繁断网、IE浏览器频繁出错以及一些常用软件出现故障等情况。如果局域网中是通过身份认证上网的,会突然出现可认证,但不能上网的现象(无法ping通网关),重启计算机或在命令提示符窗口中输入命令“arp–d”后,又可恢复上网。一般来说,遭遇ARP欺骗攻击后,就会出现上面介绍的几种情况,但如果情况严重的话,还可能导致整个网络的瘫痪。
使用局域网的一些用户遇到上面的情况时,常常认为PC没有问题,交换机也没有掉线的“本事”。而且如果用户遭遇ARP欺骗攻击的类型是对路由器ARP表的欺骗,那么,只要用户重新启动路由器,就能使网络恢复正常。
这样,用户就会认为造成断网的罪魁祸首就是路由器。其实不然,通过上面的分析,知道造成这种现象的原因其实就是受到ARP欺骗攻击。
另外,一旦计算机中的ARP欺骗木马发作时,除了会使局域网内的计算机出现以上现象外,攻击者还会利用该木马窃取用户的密码,如盗取QQ密码、各种网络游戏密码和账号去做金钱交易,盗窃网上银行账号来做非法交易活动等,这是木马的惯用伎俩,会给用户造成了很大的不便和巨大的经济损失。
10。2。5ARP欺骗攻击原理
由于局域网的网络流通不是根据IP地址进行,而是按照MAC地址进行传输。所以,那个伪造出来的MAC地址在A上被改变成一个不存在的MAC地址,这样就会造成网络不通,导致A不能Ping通C,这就是ARP欺骗。
ARP欺骗容易造成客户端断网,进行数据嗅探。从影响网络连接通畅的方式来看,ARP欺骗可以分为两种:一种是对路由器ARP表的欺骗,另一种是对内网PC的网关欺骗。
下面分别介绍这两种ARP欺骗的原理。
1。对路由器ARP表的欺骗
对路由器ARP表的欺骗的原理是截获网关数据。它通知路由器一系列错误的内网MAC地址,并按照一定的频率不断进行,使真实的地址信息无法通过更新保存在路由器中,结果路由器的所有数据只能发送给错误的MAC地址。由于网关MAC地址错误,所以从网络中计算机发来的数据无法正常发到网关,自然也就无法正常上网。
2。对内网PC的网关欺骗
对内网PC的网关欺骗的原理是伪造网关。也就是说,这种ARP欺骗会先建立假网关,让被它欺骗的PC向这个假网关发送数据,而不是通过正常的路由器途径上网。这样,内网的PC就会认为上不了网。
10。2。6ARP欺骗的过程
下面以某网络中的ARP欺骗攻击为例,介绍ARP欺骗的过程。
假设某局域网内的交换机连接了3台计算机,分别为计算机A、B、C。其中A的IP地址为192。168。0。6,MAC地址为00…1E…8C…17…BO…8B,B的IP地址为192。168。0。9,MAC地址为00…e0…4c…00…53…e8,C的IP地址为192。168。0。12,MAC地址为00…15…58…89…f7…b1。
在未受到ARP欺骗攻击之前,在计算机A中打开命令提示符窗口,运行命令“arp…a”查询ARP缓存表,应该出现如下信息:
Interface:192。168。0。7——020002
InterAddressPhysicalAddressType
192。168。0。1200…15…58…89…f7…b1dynamic
在计算机B上运行ARP欺骗程序,向A发送一个自己伪造的ARP应答,而这个应答中的数据则是C的IP地址192。168。0。12,MAC地址是08…00…2E…73…2D…BA(C的MAC地址原本是00…15…58…89…f7…b1,这里是伪造的MAC地址)。当A接收到B伪造的ARP应答,就会更新本地的ARP缓存。A不知道这个应答是从B发送过来的,A这里只有192。168。0。12(C的IP地址)和无效的08…00…2E…73…2D…BA(伪造的MAC地址)地址。
当计算机A受到ARP欺骗攻击后,再在计算机A上运行“arp…a”命令来查询ARP缓存信息,会发现此时的信息已出现错误,变成如下所示的信息:
Interface:192。168。0。7——020002
InterAddressPhysicalAddressType
192。168。0。1208…00…2E…73…2D…BAdynamic
通过上述信息可以看出,在使用网络传输数据时,虽然都是通过IP地址传输的,但最后还需要通过ARP协议进行地址转换,将IP地址转换为MAC地址。
而上面实例中的计算机A接收到的关于计算机C的MAC地址已经发生错误,所以就算以后从计算机A访问计算机C的这个IP地址,也会被ARP协议解析成错误的MAC地址08…00…2E…73…2D…BA(伪造的MAC地址)。
10。2。7用“P2P终结者”控制局域网
“P2P终结者”是一款局域网控制软件,它的主要功能就是控制和限制同一个局域网内其他的上网用户,比如,限制他人上QQ,不让他人浏览网页和下载资料。只要和你在同一局域网内的计算机用户,都可以控制他,而且只要在电脑上安装运行“P2P终结者”就可以达到前面所述的功能。需要注意的是,“P2P终结者”本身是黑客软件,因此,在使用前,需要关闭本地电脑的防火墙,包括ARP防火墙。
下面了解一下用“P2P终结者”控制局域网的方法。
步骤01在计算机中安装并运行“P2P终结者4。13”,会自动打开【系统设置】对话框,进入软件配置界面(在使用软件之前要先进行配置)。在“请选择连接到待控制网段的网卡”下拉列表中选择自己连接网络所用的网卡,此时下面就会显示网卡的当前IP地址、子网掩码、MAC地址和网关地址等内容。
步骤02切换到【控制设置】选项卡,在其中选中“本软件启动后自动开启控制网络”复选框;为防止新接入主机不受控制,需勾选“发现新主机自动对其进行控制”复选框;为了避免被其他人安装的ARP防火墙探测到正在使用P2P终结者,还需勾选“启用反ARP防护墙追踪模式”复选框。在选中之后,对方ARP防火墙将无法发现ARP攻击IP地址,但是依然能够顺利的阻挡P2P终结者的控制。
步骤03单击【确定】按钮,返回P2P终结者4。13的主界面中。在界面上方单击【启动控制】按钮,即可启动控制服务。
步骤04单击【扫描网络