|
一个专注于计算机网络的非著名砖家,2016年拥有HCIE认证(数通方向),全球唯一编号:3558,分享计算机网络知识,让枯燥的技术知识变得更有趣,让文字动起来,让网络变得更简单。欢迎关注,一起交流,共同进步。龙哥,今天给大家分享几张动图,让初学者看完,分分钟就能理解ARP欺骗(ARP病毒的原理)。如果有讲错的地方,还请大家多多指教,欢迎在评论区指导,提出建议(别浪费了,这是一个有留言功能的公众号),这样,我们才能一起成长,共同进步。既然叫做ARP欺骗,那必然得先知道局域网内正常用户的IP信息、MAC信息。就跟电信诈骗一个样,想要诈骗成功,不得先知道你个人信息,了解你个人信息之后,冒充你的谁,不然怎么欺骗? 这样你才会信任嘛~接下来,攻击者就开始监听局域网内的ARP请求报文,只要收到该报文,攻击者就可以利用IP、MAC地址信息进行欺骗。 
如图,只要局域网内有ARP request报文,主机就能学习到报文里的源IP、源MAC地址信息,然后更新ARP表项。最初开始,主机A没有主机B的mac地址,所以广播发起了ARP request报文,主机B、主机C均能收到这个广播报文,于是都更新一下各自的ARP表项。
主机B收到来自主机A发的ARP request报文,发现报文里面在询问“谁是192.168.1.2?麻烦这位同学告诉我一下你的mac地址是多少?我要给你发红包啦~”主机B发现,我草!是找我的,有人要给我发红包,当然里面就回应了,发了个“ARP 响应报文”
主机A收到主机B回复的“ARP 响应”报文,就立马更新了一下ARP 表项,终于知道这家伙(主机B)的MAC地址了,我得赶紧保存起来!下次就可以直接发红包了。
假设主机A在发起ARP请求报文的时候,主机B也发起了ARP请求报文,又或者等待一段时间,主机B里的ARP 表项超时了,没有主机A的mac信息,主机B也会发起ARP请求报文。由于主机B也发起了ARP request报文, 主机A和主机C(攻击者)都能收到,于是里面更新了自己的ARP表项。
主机C(攻击者),到此就收集齐了主机A、主机B的IP、MAC信息了。主机C(攻击者)收集了信息后,就要开始伪造、欺骗了。主机C在电脑上使用软件(如科来),伪造一个主机B 的ARP 响应报文。我们都知道,但凡主机收到ARP 响应报文,就会更新自己的ARP表项。
主机A收到 这个响应报文,以为主机B 最近有钱了,膨胀了,换了台新电脑,所以网卡的mac地址也就变化了,看到mac地址变为3333.3333.333,所以主机A 就更新一下ARP表项。
上次主机A 给 主机B 发了个红包,眼看主机B 红包也收了,于是,主机A就想,要不给主机B 夸几句吧~ 增进感情,早日实现脱单自由。所以,主机A就给 主机B 发了个消息:你长得真好看。主机A发送报文时,会查一下arp表项,然后查询到192.168.1.2对应的MAC地址是3333.3333.3333, 于是就用这个地址封装二层帧,发送出去了。
这下子好了,这个报文就送到 主机C(攻击者)手里了, 攻击者收到报文后,可以选择转发或篡改,或者更绝点直接丢弃。主机C 由于单身20年,羡慕嫉妒恨,就像搞破坏,所以篡改了报文,直接将“你长得真好看”改成 “你长得真丑”,然后发送出去,发给主机B。
|
