×

ARP攻击类型
  

ztbf 3742

{{ttag.title}}
一  ARP工作机制
      ARP(Address Resolution Protocol,地址解析协议)是一个位于TCP/IP协议栈中的底层协议,对应于数据链路层,基本功能就是将网络层(IP层,也就是相当于OSI的第三层)地址解析为数据连接层(MAC层,也就是相当于OSI的第二层)的MAC地址,以保证通信的进行。
工作过程如下:
( 1) 当网络节点需要解析一个IP 地址对应的MAC 地址时,会广播发送ARP 请求报文。
(2) 其他网络节点接收到ARP请求后,会进行ARP应答。同时,根据请求发送者的IP地址和 MAC地址的对应关系建立 ARP表项,以便后续查ARP表进行报文转发。
(3) 发起请求的网络节点接收到ARP应答后,同样会将ARP应答报文中发送者的IP 地址和 MAC 地址的映射关系记录下来,生成ARP表项,以便后续查ARP表进行报文转发。


  ARP攻击原理
ARP工作机制可以看出,ARP协议简单易用,没有任何安全机制,攻击者可以发送伪造ARP报文对网络进行攻击。
    ARP攻击就是通过伪造IP地址和MAC地址实现ARP欺骗,攻击者只要持续不断的发出伪造的ARP响应包就能更改目标主机ARP表中的条目,造成网络中断或中间人攻击。同时,能够通过在网络中产生大量的ARP通信量,使网络阻塞。

三  ARP攻击类型
常见的ARP攻击包括ARP欺骗、洪泛攻击。
ARP欺骗指攻击者通过发送伪造的ARP报文,恶意修改设备或网络内其他主机的ARP表项,造成用户或网络的报文转发异常。
ARP洪泛攻击也叫拒绝服务攻击,攻击者向设备发送大量虚假的ARP请求报文或免费ARP报文,造成设备上的ARP表项超过规格,表项溢出,无法缓存正常用户的ARP表项,或者ARP处理协议通道阻塞等,从而阻碍正常的报文转发。

四  ARP欺骗
根据仿冒的网络节点的不同,又可以细分为
1  仿冒用户主机   




1.信息节点比如网关广播ARP请求,询问用户A的地址
2.用户A回应自己的地址
3.建立合法用户A的ARP表项
4.用户B发出仿冒的ARP回应,可以是自己的MAC地址,也可以是网络中其他用户地址甚至
5. 合法的ARP表项被修改为仿冒的ARP表项
6. 给用户A的流量被转发到用户B,如果仿冒的是其他用户的地址,则流量被转发到其他用户,如果仿冒的是不存在的地址,则流量在网络中被阻断
   危害
如果用户B仿冒时用的是自己的地址,当流量返回时,就可以从流量中获取信息,从而形成中间人攻击
如果用户B仿冒时用的是其他用户地址,当流量返回时,就可以对其他用户进行流量攻击
如果用户B仿冒是用的是网络中不存在的地址,则流量被阻断
用户A的流量转发异常,要么被窃听而泄密,要么被阻断而业务中



2 仿冒网关





1.用户A广播ARP请求,询问网关的MAC地址
2.网关回应自己的MAC地址
3.用户A主机建立合法网关的ARP表项
4.用户B发出仿冒的网关ARP表项,可以是自己的MAC地址,也可以是网络中其他用户地址甚至是不存在的地址
5. 用户A主机合法网关的ARP表项被修改为仿冒的ARP表项
6. 用户A的流量转发到用户B,如果仿冒的是其他用户的地址,则流量被转发到其他用户,如果仿冒的是不存在的地址,则流量在网络中被阻断
危害
如果用户B仿冒时用的是自己的地址,则用户A所有信息都会转发给用户B,从而形成中间人攻击
如果用户B仿冒时用的是其他用户地址,就可以对其他用户进行流量攻击
如果用户B仿冒是用的是网络中不存在的地址,则流量被阻断

用户A的流量转发异常,要么被窃听而泄密,要么被阻断而业务中断。





五 ARP泛洪攻击
1   拒绝服务攻击



1.用户B主动(黑客)或被动(中病毒、木马、恶意软件等)发送大量伪造的ARP 请求、应答报文或其他能够触发网络设备ARP 处理的报文,造成网络设备的计算资源长期忙于ARP 处理,影响其他业务的处理,从而阻碍正常的报文转发。
2.正常用户请求ARP或者其他业务报文被阻塞,从而导致业务中断
危害
网络设备业务处理能力下降甚至拒绝服务,导致网络中流量中断



2  缓存溢出攻击



1.用户B主动(黑客)或被动(中病毒、木马、恶意软件等)发送向网络设备发送大量虚假的ARP 请求报文和免费ARP报文,超出网络设备ARP表项存储规格,造成网络设备上ARP缓存表溢出,无法缓存正常的ARP 表项,从而阻碍正常的报文转发。
2.正常用户ARP表项被伪造ARP表项覆盖,从而导致业务流量中断
危害
网络设备业务处理能力下降甚至拒绝服务,导致网络中流量中断



3  扫描攻击






1.用户B主动(黑客)或被动(中病毒、木马、恶意软件等)扫描本网段或者跨网段主机时,网络设备在发送回应报文前,会查找ARP表项,如果目的IP 地址的MAC 地址不存在,那么必然会导致网络设备向上层软件发送消息,要求上层软件发送ARP 请求报文到其他网段以获得目的端的MAC 地址。大量的扫描报文会导致大量的消息,导致网络设备的资源浪费,影响对其他业务的处理,从而阻碍正常的报文转发。
2.正常用户请求ARP或者其他业务报文被阻塞,从而导致业务中断
危害
网络设备业务处理能力下降甚至拒绝服务,导致网络中流量中断

打赏鼓励作者,期待更多好文!

打赏
暂无人打赏

发表新帖
热门标签
全部标签>
西北区每日一问
技术盲盒
安全效果
【 社区to talk】
技术笔记
干货满满
每日一问
信服课堂视频
新版本体验
GIF动图学习
技术咨询
功能体验
2023技术争霸赛专题
产品连连看
安装部署配置
通用技术
秒懂零信任
技术晨报
自助服务平台操作指引
原创分享
标准化排查
排障笔记本
玩转零信任
排障那些事
SDP百科
深信服技术支持平台
POC测试案例
畅聊IT
答题自测
专家问答
技术圆桌
在线直播
MVP
网络基础知识
升级
安全攻防
上网策略
测试报告
日志审计
问题分析处理
流量管理
每日一记
运维工具
云计算知识
用户认证
解决方案
sangfor周刊
VPN 对接
项目案例
SANGFOR资讯
专家分享
技术顾问
信服故事
功能咨询
终端接入
授权
设备维护
资源访问
地址转换
虚拟机
存储
迁移
加速技术
产品预警公告
信服圈儿
S豆商城资讯
技术争霸赛
「智能机器人」
追光者计划
社区帮助指南
答题榜单公布
纪元平台
卧龙计划
华北区拉练
天逸直播
以战代练
山东区技术晨报
文档捉虫活动
齐鲁TV
华北区交付直播
每周精选
2024年技术争霸赛
北京区每日一练
场景专题
故障笔记
高手请过招
升级&主动服务
高频问题集锦
社区新周刊
全能先锋系列
云化安全能力

本版达人

新手68983...

本周分享达人

零和一网络

本周提问达人