局域网的痛疾 ARP攻击方式逐个数

鸿鹄

ARP攻击，是指攻击者利用地址解析协议本身的运行机制而发动的攻击行为。包括进行对主机发动IP冲突攻击、数据包轰炸，切断局域网上任何一台主机的网络连接等。主要有以盗取数据为主要目的的ARP欺骗攻击，还有以捣乱破坏为目的的ARP泛洪攻击两种。
　　IP地址冲突
　　制造出局域网上有另一台主机与受害主机共享一个IP的假象。由于违反了唯一性要求，受害主机会自动向用户弹出警告对话框。大量的攻击数据包能令受害主机耗费大量的系统资源。对于windows操作系统，只要接收到一个ARP数据包，不管该ARP数据包符不符合要求，只要该ARP数据包所记录的源ip地址同本地主机相同但MAC地址不同，windows系统就会弹出ip地址冲突的警告对话框。根据ip地址冲突的攻击特征描述，这种类型的ARP攻击主要有以下几种：
　　（1）单播型的IP地址冲突：链路层所记录的目的物理地址为被攻击主机的物理地址，这样使得该ARP数据包只能被受攻击主机所接收而不被局域网内的其它主机所接收实现隐蔽式攻击。
　　（2）广播型的IP地址冲突：链路层所记录的目的物理地址为广播地址，这样使得局域网内的所有主机都会接受到该ARP数据包，虽然该ARP数据包所记录的目的ip地址不是受攻击主机的ip地址，但是由于该ARP数据包为广播数据包，这样受攻击主机也会接收到从而弹出ip地址冲突的警告对话框。ARP泛洪攻击

　　攻击主机持续把伪造的MAC-IP映射对发给受害主机，对于局域网内的所有主机和网关进行广播，抢占网络带宽和干扰正常通信。这种攻击方式的主要攻击特征包含：
　　（1）通过不断发送伪造的ARP广播数据报使得交换机拼于处理广播数据报耗尽网络带宽。
　　（2）令局域网内部的主机或网关找不到正确的通信对象，使得正常通信被阻断。
　　（3）用虚假的地址信息占满主机的ARP高速缓存空间，造成主机无法创建缓存表项，无法正常通信，这种攻击特征作者将其命名为ARP溢出攻击。ARP泛洪攻击不是以盗取用户数据为目的，它是以破坏网络为目的，属于损人不利己的行为。
　　ARP溢出攻击
　　ARP溢出攻击的特征主要有：
　　（1）所发送的伪造MAC-IP映射对的ip地址是非本地网的虚拟不存在的ip地址但MAC地址是固定的，由于当操作系统接收到一个源ip地址在ARP高速缓存表中不存在的ARP数据包时，就会在缓存表中创建一个对应MAC-IP的入口项。
　　（2）所发送的伪造MAC-IP映射对的ip地址是非本地网的虚拟不存在的ip地址而且MAC地址也是虚拟变化的。发送这种类型的攻击数据包会引起交换机的CAM表溢出。由于交换机是通过学习进入各端口数据帧的源MAC地址来构建CAM表，将各端口和端口所连接主机的MAC地址的对应关系进行记录，因而可根据CAM表来决定数据帧发往哪个端口。如果攻击源持续向交换机发送大量有错误的MAC地址ARP数据包，就会破坏端口与MAC的对应关系，并导致CAM表溢出。在这种情形之下，缺少防范措施的交换机就会以广播的模式处理报文，形成泛洪向所有接口转发通信信息流。最终使得交换机变成HUB，将交换式的网络变成广播式的网络，使得网络带宽急剧下降。
　　ARP欺骗原理
　　假如主机A要与目的主机B进行通信，为了查找与目的主机IP地址相对应的MAC地址，主机A使用ARP协议来查找目的主机B的MAC地址。首先，源主机A会以广播的形式发送一个ARP请求数据包给以太网上的每一台主机，这个过程称为ARP广播。而在接收到ARP广播的所有计算机中，只有具有目的主机IP地址的主机B收到该广播报文后，才会向源主机A回送一个包含其MAC地址的应答，这样一次正常的地址解析过程就完成了。为了尽量减少网络中ARP广播请求的次数，每台主机都拥有一个ARP缓存，这个缓存存放了自主机启动以来所有的IP地址与MAC地址之间的映射记录。主机每隔一定时间或者每当收到ARP应答，都会用新的地址映射记录对ARP缓存进行更新，以保证自己拥有最新的地址解析缓存。