通过示例了解ARP中毒

什么是IP和MAC地址

IP地址是Internet协议地址的缩写。Internet协议地址用于唯一标识计算机或设备，例如打印机，计算机网络上的存储磁盘。当前有两个版本的IP地址。IPv4使用32位数字。由于Internet的迅猛发展，已经开发了IPv6，它使用128位数字。

IPv4地址的格式为四组数字，中间用点分隔。最小数为0，最大数为255。IPv4地址的示例如下所示；

127.0.0.1

IPv6地址以六个数字为一组，并用全冒号分隔。组号写为4个十六进制数字。一个IPv6地址的示例如下所示：

2001：0db8：85a3：0000：0000：8a2e：0370：7334

为了简化IP地址以文本格式的表示，省略了前导零，并省略了完整的零组。以上地址以简化格式显示为：

2001：db8：85a3 ::: 8a2e：370：7334

MAC地址是媒体访问控制地址的首字母缩写。MAC地址用于唯一标识网络接口，以便在网络的物理层进行通信。MAC地址通常嵌入到网卡中。

MAC地址就像电话的序列号，而IP地址就像电话号。

我们假定您正在使用Windows进行此练习。打开命令提示符。

输入命令

ipconfig /all

您将获得有关计算机上所有可用网络连接的详细信息。下面显示的结果是宽带调制解调器显示MAC地址和IPv4格式，无线网络显示IPv6格式。

什么是ARP中毒？

ARP是地址解析协议（Address Resolution Protocol）的首字母缩写。它用于将IP地址转换为交换机上的物理地址[MAC地址]。主机在网络上发送ARP广播，并且收件人计算机以其物理地址[MAC地址]进行响应。解析的IP / MAC地址然后用于通信。ARP中毒正在向交换机发送伪造的MAC地址，以便它可以将伪造的MAC地址与网络上正版计算机的IP地址相关联，并劫持流量。

ARP中毒对策

静态ARP条目：可以在本地ARP缓存中定义这些条目，并将交换机配置为忽略所有自动ARP回复数据包。这种方法的缺点是，很难在大型网络上进行维护。IP / MAC地址映射必须分发到网络上的所有计算机。

ARP中毒检测软件：这些系统可用于交叉检查IP / MAC地址解析并对其进行身份验证。然后可以阻止未经认证的IP / MAC地址解析。

操作系统安全性：此措施取决于所使用的操作系统。以下是各种操作系统使用的基本技术。

• 基于Linux的：通过忽略未经请求的ARP应答数据包来工作。

• Microsoft Windows：可以通过注册表配置ARP缓存行为。以下列表包括一些可用于保护网络免遭嗅探的软件。

• AntiARP –提供针对被动和主动嗅探的保护

• Agnitum Outpost防火墙–提供针对被动嗅探的保护

• XArp –提供针对被动和主动嗅探的保护

• Mac OS：ArpGuard可用于提供保护。它可以防止主动和被动嗅探。

黑客活动：在Windows中配置ARP条目

我们正在使用Windows 7进行此练习，但是这些命令也应该能够在其他版本的Windows上运行。

打开命令提示符并输入以下命令

arp –a

这里，

• apr调用Windows / System32目录中的ARP配置程序

• -a 是要显示到ARP缓存内容的参数

您将获得与以下类似的结果

注意：在远程计算机上使用TCP / IP会话时，会自动添加和删除动态条目。

静态条目是手动添加的，在计算机重新启动，网络接口卡重新启动或影响它的其他活动时将被删除。

添加静态条目

打开命令提示符，然后使用ipconfig / all命令获取IP和MAC地址

MAC地址使用物理地址表示，IP地址为IPv4Address

输入以下命令

arp –s 192.168.1.38 60-36-DD-A6-C5-43

注意：IP和MAC地址将与此处使用的IP地址和MAC地址不同。这是因为它们是唯一的。

使用以下命令查看ARP缓存

arp –a

您将获得以下结果

请注意，该IP地址已解析为我们提供的MAC地址，并且属于静态类型。

删除ARP缓存项

使用以下命令删除条目

arp –d 192.168.1.38

PS ARP中毒通过向交换机发送伪造的MAC地址来起作用