ARP攻击类型

admin 2024年3月4日02:09:50评论10 views字数 2093阅读6分58秒阅读模式

一  ARP工作机制
      ARP(Address Resolution Protocol,地址解析协议)是一个位于TCP/IP协议栈中的底层协议,对应于数据链路层,基本功能就是将网络层(IP层,也就是相当于OSI的第三层)地址解析为数据连接层(MAC层,也就是相当于OSI的第二层)的MAC地址,以保证通信的进行。
工作过程如下:
( 1) 当网络节点需要解析一个IP 地址对应的MAC 地址时,会广播发送ARP 请求报文。
(2) 其他网络节点接收到ARP请求后,会进行ARP应答。同时,根据请求发送者的IP地址和 MAC地址的对应关系建立 ARP表项,以便后续查ARP表进行报文转发。
(3) 发起请求的网络节点接收到ARP应答后,同样会将ARP应答报文中发送者的IP 地址和 MAC 地址的映射关系记录下来,生成ARP表项,以便后续查ARP表进行报文转发。


  ARP攻击原理
ARP工作机制可以看出,ARP协议简单易用,没有任何安全机制,攻击者可以发送伪造ARP报文对网络进行攻击。
    ARP攻击就是通过伪造IP地址和MAC地址实现ARP欺骗,攻击者只要持续不断的发出伪造的ARP响应包就能更改目标主机ARP表中的条目,造成网络中断或中间人攻击。同时,能够通过在网络中产生大量的ARP通信量,使网络阻塞。

三  ARP攻击类型
常见的ARP攻击包括ARP欺骗、洪泛攻击。
ARP欺骗指攻击者通过发送伪造的ARP报文,恶意修改设备或网络内其他主机的ARP表项,造成用户或网络的报文转发异常。
ARP洪泛攻击也叫拒绝服务攻击,攻击者向设备发送大量虚假的ARP请求报文或免费ARP报文,造成设备上的ARP表项超过规格,表项溢出,无法缓存正常用户的ARP表项,或者ARP处理协议通道阻塞等,从而阻碍正常的报文转发。

四  ARP欺骗
根据仿冒的网络节点的不同,又可以细分为
1  仿冒用户主机   


ARP攻击类型

1.信息节点比如网关广播ARP请求,询问用户A的地址
2.用户A回应自己的地址
3.建立合法用户A的ARP表项
4.用户B发出仿冒的ARP回应,可以是自己的MAC地址,也可以是网络中其他用户地址甚至
5. 合法的ARP表项被修改为仿冒的ARP表项
6. 给用户A的流量被转发到用户B,如果仿冒的是其他用户的地址,则流量被转发到其他用户,如果仿冒的是不存在的地址,则流量在网络中被阻断
   危害
如果用户B仿冒时用的是自己的地址,当流量返回时,就可以从流量中获取信息,从而形成中间人攻击
如果用户B仿冒时用的是其他用户地址,当流量返回时,就可以对其他用户进行流量攻击
如果用户B仿冒是用的是网络中不存在的地址,则流量被阻断
用户A的流量转发异常,要么被窃听而泄密,要么被阻断而业务中



2 仿冒网关


ARP攻击类型


1.用户A广播ARP请求,询问网关的MAC地址
2.网关回应自己的MAC地址
3.用户A主机建立合法网关的ARP表项
4.用户B发出仿冒的网关ARP表项,可以是自己的MAC地址,也可以是网络中其他用户地址甚至是不存在的地址
5. 用户A主机合法网关的ARP表项被修改为仿冒的ARP表项
6. 用户A的流量转发到用户B,如果仿冒的是其他用户的地址,则流量被转发到其他用户,如果仿冒的是不存在的地址,则流量在网络中被阻断
危害
如果用户B仿冒时用的是自己的地址,则用户A所有信息都会转发给用户B,从而形成中间人攻击
如果用户B仿冒时用的是其他用户地址,就可以对其他用户进行流量攻击
如果用户B仿冒是用的是网络中不存在的地址,则流量被阻断

用户A的流量转发异常,要么被窃听而泄密,要么被阻断而业务中断。





五 ARP泛洪攻击
1   拒绝服务攻击
ARP攻击类型


1.用户B主动(黑客)或被动(中病毒、木马、恶意软件等)发送大量伪造的ARP 请求、应答报文或其他能够触发网络设备ARP 处理的报文,造成网络设备的计算资源长期忙于ARP 处理,影响其他业务的处理,从而阻碍正常的报文转发。
2.正常用户请求ARP或者其他业务报文被阻塞,从而导致业务中断
危害
网络设备业务处理能力下降甚至拒绝服务,导致网络中流量中断



2  缓存溢出攻击

ARP攻击类型

1.用户B主动(黑客)或被动(中病毒、木马、恶意软件等)发送向网络设备发送大量虚假的ARP 请求报文和免费ARP报文,超出网络设备ARP表项存储规格,造成网络设备上ARP缓存表溢出,无法缓存正常的ARP 表项,从而阻碍正常的报文转发。
2.正常用户ARP表项被伪造ARP表项覆盖,从而导致业务流量中断
危害
网络设备业务处理能力下降甚至拒绝服务,导致网络中流量中断



3  扫描攻击

ARP攻击类型




1.用户B主动(黑客)或被动(中病毒、木马、恶意软件等)扫描本网段或者跨网段主机时,网络设备在发送回应报文前,会查找ARP表项,如果目的IP 地址的MAC 地址不存在,那么必然会导致网络设备向上层软件发送消息,要求上层软件发送ARP 请求报文到其他网段以获得目的端的MAC 地址。大量的扫描报文会导致大量的消息,导致网络设备的资源浪费,影响对其他业务的处理,从而阻碍正常的报文转发。
2.正常用户请求ARP或者其他业务报文被阻塞,从而导致业务中断
危害
网络设备业务处理能力下降甚至拒绝服务,导致网络中流量中断

原文始发于微信公众号(菜鸟小新):ARP攻击类型

  • 左青龙
  • 微信扫一扫
  • weinxin
  • 右白虎
  • 微信扫一扫
  • weinxin
admin
  • 本文由 发表于 2024年3月4日02:09:50
  • 转载请保留本文链接(CN-SEC中文网:感谢原作者辛苦付出):
                   ARP攻击类型https://cn-sec.com/archives/2544319.html

发表评论

匿名网友 填写信息