这节教程我们一起来研究局域网内的arp欺骗攻击的原理和防范措施,以及探讨一下其盗取QQ密码可行性。可能大家对ARP还不太了解,所以我先来简单的说一说。
ARP其实是局域网通信的一个颇有“瑕疵”的协议,近来出现了很多针对内网ARP协议的缺陷加以利用欺骗攻击同网段的其他主机的软件。比如有一定名气的P2P终结者等工具,其实就是利用了ARP(善意的)欺骗来达到限制他人网速的目的,那么ARP攻击的原理是怎样的呢?
在内网中各电脑间和主机网关的通信其实并不是靠IP地址进行的,而是根据网卡的物理地址MAC来进行的。当ARP欺骗发生的时候,情况就有变了。举个例子说吧,假设
主机A的ip是1.1.1.1,MAC是11-11-11-11-11-11
主机B的ip是2.2.2.2,MAC是22-22-22-22-22-22
路由网关ip是3.3.3.3,MAC是33-33-33-33-33-33
正常情况下所有的电脑上网都是通过网关通信的,但是如果主机B中了ARP病毒或使用了ARP限速工具,就会不断发送ARP数据包欺骗主机A说网关的MAC是22-22-22-22-22-22,这样A收到后就会更新自己的arp缓存表(自己被骗却洪然不知),在主机A看来网关ip还是3.3.3.3,但是发送的数据都给了主机B。一般情况下ARP欺骗都是双向的,即欺骗其他主机的同时也欺骗网关,这样原本流向网关的数据都流向了主机B,这样B就有办法控制整个局域网的网速了或者达到了攻击窃取其他电脑数据的目的。
个人认为虽然arp攻击的隐蔽性和危害很大,但是对于QQ密码来说,想要窃听盗号也是无能为力的,因为QQ密码是通过加密通道传输的。即便被人劫获到了也是一堆乱码,没任何价值。
最后来谈谈如何防范ARP攻击。最彻底的方法是在网关路由和主机上做ARP静态绑定,最简单的方法是开启ARP防火墙的保护和防御功能。怎样确定自己是否中ARP欺骗呢?很简单,通过开始菜单的运行打开cmd窗口,然后输入 arp -a 回车后看一下里面网关ip对应mac地址是否正确(和正常上网时对比),或者看一下里面有木有存在相同的mac地址记录,有的话则说明一定是遭到了ARP欺骗。
