ARP介绍与ARP欺骗（原创）

瑞星卡卡安全论坛技术交流区 入侵防御（HIPS） ARP介绍与ARP欺骗（原创）

	瑞星ESM助力北京石龙医院筑牢安全防线		瑞星恶意代码管理系统助金华电力提升防御能力		俄乌冲突加剧网络攻击风险白俄罗斯政府遭APT攻击		助力国家网络安全瑞星获病毒应急处理中心感谢信
	实力拉满瑞星第四十四次通过VB100测评		瑞星发布2024年六大网络安全趋势		瑞星携手中国农业大学共筑网络安全防线		人工智能在网络安全领域的风险和机遇

1 / 1 页

跳转页

自信弱冠狮

帖子:447
注册: 2010-05-15
来自:福建

发表于： 2010-07-19 17:31 | 只看楼主 短消息资料

字号：小中大 1楼

ARP介绍与ARP欺骗（原创）

ARP介绍与ARP欺骗

fooying（H.U.C)
个人blog：http://hi.baidu.com/fooying
QQ413673800
ARP介绍：
ARP(AddressResolutionProtocol)，即地址解析协议.ARP用于将计算机和网路IP地址转换为MAC地址。
ARP协议基本的功能就是通过目标设备的IP地址查询目标设备的MAC地址，来达到保证通信顺利进行。
每台电脑有安装TCP/IP协议的电脑都有个ARP缓存表，表里的IP地址与MAC地址是一一对应的。
样式如
IP地址 MAC地址
192.68.7.0 00-aa-02-62-c6-08
一般原理如
主机A发出通话：IP为192.68.7.0的主机报上MAC。
IP为192.68.7.0的主机就回应答ARP广播为：
“我是192.68.7.0，MAC地址为00-aa-02-62-c6-08".于是主机A就更新自己的ARP缓存表，确定IP为
192.68.7.0的主机MAC地址，然后向此IP计算机发送网络数据。

ARP欺骗
如果系统中ARP缓存表被修改，不断通知路由器一系列错误的内网IP，或者直接伪造个假的网关进行欺骗，网络就会出现大面积的掉线。下面我举个例子。
如一个入侵者要进入公司服务器，但是服务器只面对IP为192.68.1.7的主机开放23端口（telent端口），他无法入侵，他就可以采用ARP欺骗。下面是相应过程。
1、一般在可以情况下，他首先发送个洪水包使IP为192.68.1.7的主机死机；
2、这是如果主机发到192.68.1.7的IP无法被应答，主机就会从ARP缓存表中抹去对应192.68.1.7的地址；
3、同时，入侵着将自己的主机IP伪造为192.68.1.7，发送PING给主机，要求更新主机ARP缓存表。
4、主机找到IP，更新ARP缓存表；
这样一个过程后，火墙就失效了，攻击者IP变成合法的MAC地址，这样就可以顺利入侵。

以上讲的使ARP的相关知识，还介绍了ARP欺骗攻击的过程，希望大家能理解，希望有助大家掌握相应知识。

用户系统信息：Mozilla/4.0 (compatible; MSIE 6.0; Windows NT 5.1; SV1)

分享到：

木马bbbb 强壮不惑狮帖子:1168 注册: 2008-02-26 来自:瑞星火星用户	发表于： 2010-07-19 17:58 \| 短消息资料字号：小中大 2楼回复：ARP介绍与ARP欺骗（原创）帮顶。
木马bbbb 强壮不惑狮帖子:1168 注册: 2008-02-26 来自:瑞星火星用户

荔枝饭饭自信弱冠狮帖子:454 注册: 2010-06-26 来自:	发表于： 2010-07-19 20:22 \| 短消息资料字号：小中大 3楼回复：ARP介绍与ARP欺骗（原创）帮顶！顺便补充常见解决ARP供给方法简单说明（三种） 1、利用ARP echo传送正确的ARP对照表，达到防御目的； 2、进行MAC与IP地址的绑定，生成固定的ARP对照表，保证映射关系的正确； 3、采用其他协议（如：PPPoE）传送地址信息。以上三种方法中，第二种方法最为方便和有效。主要原因如下：使用ARP echo方式，需要配置一台负责发送ARP echo广播的设备，当ARP攻击非常频繁时，该设备的负担将很大，因此ARP echo将无法达到理想的效果。而局域网主机众多的网络，想要实施第三种方法，其工作量也是相当庞大的。因此，上述三种方法中，以第二种方法最为实用。 ~木~
荔枝饭饭自信弱冠狮帖子:454 注册: 2010-06-26 来自:

lyz19891122 初生襁褓狮帖子:1 注册: 2010-07-27 来自:	发表于： 2010-07-27 22:24 \| 短消息资料字号：小中大 4楼回复：ARP介绍与ARP欺骗（原创）学习了。。。
lyz19891122 初生襁褓狮帖子:1 注册: 2010-07-27 来自:

至尊灬少将初生襁褓狮帖子:35 注册: 2010-08-16 来自:山东济南	发表于： 2010-08-17 00:44 \| 短消息资料字号：小中大 5楼回复 3F 荔枝饭饭的帖子不知道怎么绑定啊？对于我们这些一般人来说不需要做这些把？
至尊灬少将初生襁褓狮帖子:35 注册: 2010-08-16 来自:山东济南

刘域初生襁褓狮帖子:1 注册: 2010-09-13 来自:	发表于： 2010-09-13 20:58 \| 短消息资料字号：小中大 6楼回复 5F 至尊灬少将的帖子 arp -a 查看本地ip/mac 绑定情况 arp -s 157.55.85.212 00-aa-00-62-c6-09 (ip/mac绑定格式/cmd下输入即可/) 如果你是直接宽带上网的话，可不用绑定！但如果你是校园网(内网)..最好绑定不然到时你同学中了arp木马你也会跟着遭殃！
刘域初生襁褓狮帖子:1 注册: 2010-09-13 来自:

<<上一主题|下一主题>>

1 / 1 页

跳转页

瑞星卡卡安全论坛技术交流区入侵防御（HIPS） ARP介绍与ARP欺骗（原创）

ARP介绍与ARP欺骗（原创）

ARP介绍与ARP欺骗（原创）

回复：ARP介绍与ARP欺骗（原创）

回复：ARP介绍与ARP欺骗（原创）

回复：ARP介绍与ARP欺骗（原创）

回复 3F 荔枝饭饭 的帖子

回复 5F 至尊灬少将 的帖子

回复 3F 荔枝饭饭的帖子

回复 5F 至尊灬少将的帖子