跳至內容

ARP欺騙

出自Taiwan Tongues 台語維基
這是此頁批准,以及是最近的修訂。

ARP 欺騙(英語:ARP spoofing), 閣稱ARP 毒化ARP poisoning,網路上濟的譯為ARP 病毒)抑是ARP 攻擊,是針對乙太網路位址解析協定(ARP)的一種攻擊技術。這款攻擊會當予攻擊者取得區域網路頂懸的資料封包甚至會當看著改封包,閣會當予網路上特定電腦或者是所有電腦無法度正常連線。上早探討 ARP 欺騙的文章是由 Yuri Volobuev 所寫的《ARP 佮 ICMP 轉向遊戲》(_ ARP and ICMP redirection games _)。

運作機制

ARP 欺騙的運作原理是由攻擊者發送假的 ARP 封包到網路頂懸,尤其是送到閘道器頂懸。其目的是欲予送到特定的 IP 位址的流量予人錯誤送去攻擊者所取代的所在。因為按呢攻擊者會當將遮的流量另行轉送到真正的閘道(去予動式封包鼻探,passive sniffing)抑是講鋪改了才閣轉送(彼个中間人攻擊,man-in-the-middle attack)。 攻擊者亦可將 ARP 封包導到無存在的 MAC 位址以達到阻斷服務攻擊的效果,比如講 netcut 軟體。

比如講某一的 IP 位址是 ` 一百九十二追一六八 . 空九二五四 `,其實 MAC 位址為 ` 空九十一五二二八三十三五四十四五十五 `,網路上的電腦內 ARP 表會有這筆 ARP 記錄。攻擊者發動攻擊的時陣,會大量的發出來已經將 ` 一百九十二追一六八 . 空九二五四 ` 的 MAC 位址抹改做 ` 空九五十五五五四十四四三十三五五二十二知十一 ` 的 ARP 封包。遐網路頂懸的電腦若是共這假造的 ARP 寫入自身的 ARP 表了後,電腦若欲透過網路閘道連著其他電腦的時陣,封包將導到 ` 空九五十五五五四十四四三十三五五二十二知十一 ` 這乎 MAC 位址,就按呢攻擊者會當 MAC 位址收著封包,可惡改了後閣送轉來真正的閘道,抑是講啥物嘛無愛做,予網路袂連線。

簡單的案例分析:遮乎用一个上簡單的案例來說明 ARP 欺騙的核心步。準講是佇一个 LAN 內底,干焦三台主機 A、B、C,而且 C 是攻擊者。

一 . 攻擊者聆聽區域網路上的 MAC 位址。伊只要收著兩台主機洪泛的 ARP Request,就會當進行欺騙活動。 二 . 主機 A、B 攏洪泛矣 ARP Request . 攻擊者這馬有兩台主機 IP、MAC 位址,開始來攻擊。 三 . 攻擊者傳送一个 ARP Reply 予主機 B,來共這包 protocol header 里的 sender IP 設為 A 的 IP 位址,sender mac 設做攻擊者家己的 MAC 位址。 四 . 主機 B 收著 ARP Reply 後,更新伊的 ARP 表,共主機 A 的 MAC 位址(IP \ _ A , MAC \ _ A)改做(IP \ _ A , MAC \ _ C)。 五 . 做主機 B 欲傳送封包予主機 A 時,伊根據 ARP 表來封裝封包的 Link 報頭,共目的 MAC 位址設為 MAC \ _ C,毋是 MAC \ _ A。 六 . 做交換機收著 B 傳送予 A 的封包時,根據這包的目的 MAC 位址(MAC \ _ C)啊若共封包轉發予攻擊者 C。 七 . 攻擊者收著封包了後,會當共伊儉起來了後才閣傳送予 A,達到偷聽效果。攻擊者嘛會當知影改資料了後才傳送封包予 A,造成傷害。

防制方法

上理想的防制方法是網路內每一台電腦的 ARP 一律改用靜態的方式,猶毋過這佇大型的網路是袂用得的,因為需要定定更新逐台電腦的 ARP 表。

另外一款方法,比如講 DHCP snooping,網路裝置會當藉著 DHCP 保留網路頂頭電腦的 MAC 位址,咧假造的 ARP 封包發出時即可偵測著。此方式已經佇咧一寡廠牌的網路裝置產品所支援。

有一寡軟體會當監聽網路頂懸的 ARP 回應,偵測出有無正常變動的時會當發送電子批件通知管理者。比如講 UNIX 平台的 Arpwatch 以及 Windows 上的 XArp v 字抑是一寡網路裝置的 Dynamic ARP inspection 功能。

正當用途

ARP 欺騙亦有正當用途。其一是佇一个需要登入的網路內底,予未登入的電腦共其瀏覽網頁強制轉向到登入頁面,以便登入了後才會使用網路。另外有一寡仔設有備援機制的網路裝置抑是侍服器,亦需要利用 ARP 欺騙以佇裝置出現故障的時將訊務導到備用的裝置上。

參考資料

外部連結

  • Quick Detect ARP Poisoning / Spoofing Live Demo . [二千空八孵五鋪二十三] .(原始內容存檔佇兩千空一十三抹四鋪二十五)(英語).
  • NetCut-Admin Network with ARP protocol . [二千空二十五九九九二十五] .(原始內容存檔佇兩千空一十七抹六鋪三)(英語).
  • Introduction to APR ( Arp Poison Routing ) by MAO . [二千空八孵五鋪二十三] .(原始內容存檔佇兩千空七抹六鋪三十)(英語).
  • ARPDefender-Hardware ARP Spoofing detection appliance . [二千空二十五九九九二十五] .(原始內容存檔佇兩千空一十六五十一孵二十九)(英語).
  • GRC's Arp Poisoning Explanation . [二千空八孵五鋪二十三] .(原始內容存檔佇兩千空一十九學四鋪二十四)(英語).
  • XArp 二 ARP spoofing detection tool performing packet inspection using active and passive methods . [二千空八孵五鋪二十三] .(原始內容存檔佇兩千空一十五五鋪二十七)(英語).
  • AntiARP-Professional defence ARP spoof / poison / attack . [二千空八孵五鋪二十三] .(原始內容存檔佇兩千空八鋪九九尻川十四)(英語).
  • ARP Spoofing How to ( PDF )(英語).
取自「https://wiki.taigi.ima.org.tw/w/index.php?title=ARP欺騙&oldid=460424