在ARP协议的工作过程中,正常情况下应是由一台主机先发出ARP请求,然后再由目标主机向其返回ARP响应。但ARP协议是建立在信任局域网内所有结点的基础上的,即如果主机并没有发出ARP请求,它也仍会接收别的主机主动向其发送的ARP响应,这就为ARP欺骗提供了可能。
假设在下图所示的网络拓扑中,在主机A所在的网段出现了一台恶意主机,它通过伪造ARP响应包可以实施三种类型的ARP欺骗。
第一种,欺骗主机。
这种欺骗的目标是主机(如主机A),欺骗的目的是伪造网关的MAC地址。
恶意主机通过向目标主机发送伪造的ARP响应,使得目标主机ARP缓存表中的网关IP地址对应到一个虚假的MAC地址上。
伪造的发往主机A的ARP Response数据帧封装结构如下图所示:
主机A收到这个伪造的ARP响应之后,将更新自己的ARP缓存表,将网关的IP地址192.168.1.1对应到错误的MAC地址上。这样导致的后果是主机A将无法将数据正常地发送给网关,从而使主机掉线,无法上网。
第二种,欺骗网关。
这种欺骗的目标是网关,欺骗的目的是伪造主机的MAC地址。
恶意主机通过向网关发送伪造的ARP响应,使得网关ARP缓存表中的主机IP地址对应到一个虚假的MAC地址上。
伪造的发往网关的ARP Response数据帧封装结构如下图所示:
网关收到这个伪造的ARP响应之后,将更新自己的ARP缓存表,将主机A的IP地址192.168.1.100对应到错误的MAC地址上。这样导致的后果是主机A虽然能将数据发送给网关,但网关却无法将返回的信息发送给主机A,所以仍然会使主机掉线,无法上网。
第三种,对主机和网关的双向欺骗。
明白了上述两种欺骗的原理之后,这种欺骗方法就比较好理解了。恶意主机分别向主机和网关发送伪造的ARP响应,其破坏力相比前两种欺骗方法要更强。
本文转自 yttitan 51CTO博客,原文链接:http://blog.51cto.com/yttitan/1329745
