資源描述:
《Cain的攻擊與ARP的防御》由會(huì)員上傳分享�,免費(fèi)在線閱讀,更多相關(guān)內(nèi)容在教育資源-天天文庫����。
1、ARP病毒診斷與防御一ARP病毒的攻擊一�、arp攻擊原理在局域網(wǎng)中,通過ARP協(xié)議來完成IP地址轉(zhuǎn)換為第二層物理地址(即MAC地址)的�。ARP協(xié)議對(duì)網(wǎng)絡(luò)安全具有重要的意義。通過偽造IP地址和MAC地址實(shí)現(xiàn)ARP欺騙��,能夠在網(wǎng)絡(luò)中產(chǎn)生大量的ARP通信量使網(wǎng)絡(luò)阻塞。ARP協(xié)議是“AddressResolutionProtocol”(地址解析協(xié)議)的縮寫���。在局域網(wǎng)中�����,網(wǎng)絡(luò)中實(shí)際傳輸?shù)氖恰皫保瑤锩媸怯心繕?biāo)主機(jī)的MAC地址的�����。在以太網(wǎng)中���,一個(gè)主機(jī)要和另一個(gè)主機(jī)進(jìn)行直接通信���,必須要知道目標(biāo)主機(jī)的MAC地址
2、���。但這個(gè)目標(biāo)MAC地址是如何獲得的呢�����?它就是通過地址解析協(xié)議獲得的�。所謂“地址解析”就是主機(jī)在發(fā)送幀前將目標(biāo)IP地址轉(zhuǎn)換成目標(biāo)MAC地址的過程。ARP協(xié)議的基本功能就是通過目標(biāo)設(shè)備的IP地址���,查詢目標(biāo)設(shè)備的MAC地址��,以保證通信的順利進(jìn)行����。每臺(tái)安裝有TCP/IP協(xié)議的電腦里都有一個(gè)ARP緩存表�,表里的IP地址與MAC地址是一一對(duì)應(yīng)的,如下表所示��。主機(jī)IP地址MAC地址A192.168.16.1aa-aa-aa-aa-aa-aaB192.168.16.2bb-bb-bb-bb-bb-bbC192.1
3��、68.16.3cc-cc-cc-cc-cc-ccD192.168.16.4dd-dd-dd-dd-dd-dd以主機(jī)A(192.168.16.1)向主機(jī)B(192.168.16.2)發(fā)送數(shù)據(jù)為例����。當(dāng)發(fā)送數(shù)據(jù)時(shí),主機(jī)A會(huì)在自己的ARP緩存表中尋找是否有目標(biāo)IP地址����。如果找到了,也就知道了目標(biāo)MAC地址����,直接把目標(biāo)MAC地址寫入幀里面發(fā)送就可以了���;如果在ARP緩存表中沒有找到相對(duì)應(yīng)的IP地址,主機(jī)A就會(huì)在網(wǎng)絡(luò)上發(fā)送一個(gè)廣播���,目標(biāo)MAC地址是“FF.FF.FF.FF.FF.FF”���,這表示向同一網(wǎng)段內(nèi)的所有
4、主機(jī)發(fā)出這樣的詢問:“192.168.16.2的MAC地址是什么���?”網(wǎng)絡(luò)上其他主機(jī)并不響應(yīng)ARP詢問,只有主機(jī)B接收到這個(gè)幀時(shí)�����,才向主機(jī)A做出這樣的回應(yīng):“192.168.16.2的MAC地址是bb-bb-bb-bb-bb-bb”���。這樣����,主機(jī)A就知道了主機(jī)B的MAC地址��,它就可以向主機(jī)B發(fā)送信息了���。同時(shí)它還更新了自己的ARP緩存表�����,下次再向主機(jī)B發(fā)送信息時(shí)���,直接從ARP緩存表里查找就可以了����。ARP緩存表采用了老化機(jī)制����,在一段時(shí)間內(nèi)如果表中的某一行沒有使用,就會(huì)被刪除����,這樣可以大大減少ARP緩存表的
5、長度���,加快查詢速度���。從上面可以看出,ARP協(xié)議的基礎(chǔ)就是信任局域網(wǎng)內(nèi)所有的人����,那么就很容易實(shí)現(xiàn)在以太網(wǎng)上的ARP欺騙���。對(duì)目標(biāo)A進(jìn)行欺騙,A去Ping主機(jī)C卻發(fā)送到了DD-DD-DD-DD-DD-DD這個(gè)地址上�。如果進(jìn)行欺騙的時(shí)候,把C的MAC地址騙為DD-DD-DD-DD-DD-DD����,于是A發(fā)送到C上的數(shù)據(jù)包都變成發(fā)送給D的了。這不正好是D能夠接收到A發(fā)送的數(shù)據(jù)包了么����,嗅探成功。A對(duì)這個(gè)變化一點(diǎn)都沒有意識(shí)到�,但是接下來的事情就讓A產(chǎn)生了懷疑�。因?yàn)锳和C連接不上了。D對(duì)接收到A發(fā)送給C的數(shù)據(jù)包可沒有
6��、轉(zhuǎn)交給C��。做“maninthemiddle”����,進(jìn)行ARP重定向�����。打開D的IP轉(zhuǎn)發(fā)功能�,A發(fā)送過來的數(shù)據(jù)包��,轉(zhuǎn)發(fā)給C����,好比一個(gè)路由器一樣。不過�����,假如D發(fā)送ICMP重定向的話就中斷了整個(gè)計(jì)劃���。D直接進(jìn)行整個(gè)包的修改轉(zhuǎn)發(fā)����,捕獲到A發(fā)送給C的數(shù)據(jù)包�,全部進(jìn)行修改后再轉(zhuǎn)發(fā)給C,而C接收到的數(shù)據(jù)包完全認(rèn)為是從A發(fā)送來的����。不過��,C發(fā)送的數(shù)據(jù)包又直接傳遞給A��,倘若再次進(jìn)行對(duì)C的ARP欺騙?��,F(xiàn)在D就完全成為A與C的中間橋梁了,對(duì)于A和C之間的通訊就可以了如指掌了��。二�、cain的使用1、安裝WinPcap_4_1_1
7��、.exe����、cain、ethereal-setup-0.10.11.exe三個(gè)軟件�����。1�����、設(shè)某一臺(tái)計(jì)算機(jī)A為網(wǎng)關(guān)�,其它兩臺(tái)機(jī)器(B、C)的默認(rèn)網(wǎng)關(guān)為A計(jì)算機(jī)的ip地址(三臺(tái)機(jī)重新設(shè)定為在同一網(wǎng)段)����。a.bc.1、查看各臺(tái)機(jī)器的arp緩存(怎么查���?)并清空���。a.b.C.1、A�����、C互相ping�����,然后查看各自arp緩存�����,并截圖��。1、在B中打開cain��,點(diǎn)擊“啟用/停止嗅探”(即菜單中文件夾右邊的鍵)��,選擇要嗅探的網(wǎng)卡或者點(diǎn)擊“配置”按鈕�����,進(jìn)行配置�。1、點(diǎn)“嗅探器”―――左下角“主機(jī)”―――左上角stop/s
8�、tartsniffer圖標(biāo)―――“+”,可以看到同一局域網(wǎng)的所有機(jī)器的相關(guān)信息�。1、點(diǎn)擊左下角“ARP”�����,然后點(diǎn)擊出現(xiàn)的表框的左側(cè)欄最上面的ARP��,再在右邊空白處點(diǎn)一下鼠標(biāo)��,上面的“添加到列表(即+鍵)”就從灰色變成了深藍(lán)色���。點(diǎn)一下這個(gè)加號(hào),出現(xiàn)“新的ARPPoisonRouting”界面,在其左側(cè)選擇C機(jī)的地址�����,右側(cè)選擇A機(jī)地址���,然后點(diǎn)擊左上角的“開始/停止ARP”按鈕�,開始欺騙����。1、清空A的緩存列表1����、A和C、A和B互相ping1���、再次查看各臺(tái)機(jī)器的arp緩存(尤其是A的緩存)
