ARP欺骗与DNS欺骗.ppt

ARP 欺骗与 DNS 欺骗黑客反向工程?ARP 简介?ARP 欺骗原理?ARP 欺骗操作及防御?DNS 简介?DNS 欺骗原理?DNS 欺骗操作及防御 ARP 简介? 简介?ARP (Address Resolution Protocol ),即地址解析协议,是根据 IP地址获取物理地址的一个TCP/IP 协议。主机发送信息时将包含目标 IP 地址的 ARP 请求广播到网络上的所有主机,并接收返回消息,以此确定目标的物理地址;收到返回消息后将该 IP地址和物理地址存入本机 ARP 缓存中并保留一定时间,下次请求时直接查询 ARP 缓存以节约资源。 ARP 简介?某机器 A要向主机 B发送报文,会查询本地的 ARP 缓存表, 找到 B的IP地址对应的 MAC 地址后,就会进行数据传输。如果未找到,则 A广播一个 ARP 请求报文(携带主机 A的 IP地址 Ia——物理地址 Pa),请求 IP地址为 Ib的主机 B 回答物理地址 Pb。网上所有主机包括 B都收到 ARP 请求, 但只有主机 B识别自己的 IP地址,于是向 A主机发回一个ARP 响应报文。其中就包含有 B的MAC 地址, A接收到 B 的应答后,就会更新本地的 ARP 缓存。接着使用这个 MAC 地址发送数据(由网卡附加 MAC 地址)。因此,本地高速缓存的这个 ARP 表是本地网络流通的基础,而且这个缓存是动态的。 ARP 原理 ARP 欺骗?1) 什么是 ARP 欺骗?在局域网中, 黑客经过收到 ARP Request 广播包,能够偷听到其它节点的(IP, MAC) 地址, 黑客就伪装为 A, 告诉 B ( 受害者) 一个假地址,使得 B在发送给 A 的数据包都被黑客截取,而 A, B 浑然不知。?2) 为什么黑客能够进行 ARP 欺骗? ARP 是个早期的网络协议, RFC826 在1980 就出版了。早期的互联网采取的是信任模式,在科研、大学内部使用,追求功能、速度,没考虑网络安全。尤其以太网的洪泛特点,能够很方便的用来查询。但这也为日后的黑客开了方便之门。黑客只要在局域网内阅读送上门来的 ARP Request 就能偷听到网内所有的(IP, MAC) 地址。而节点收到 ARP Reply 时, 也不会质疑。黑客很容易冒充他人?3) 能够防止欺骗吗?不能。但这种伤害的伤害已经很小。因为局域网的工作环境有了改变, 服务器通常不会和终端主机在同一个局域网。 ARP 欺骗准备?相关软件下载: ?ARP 攻击检测工具?局域网终结者?网络执法官?ARPsniffer 嗅探工具 ARPsniffer 使用原理: ?ARPsniffer :在使用该工具时,它会将网络接口设置为混杂模式,该模式下工具可以监听到网络中传输的所有数据帧, 而不管数据帧的目的地是自己还是其他网络接口的地址。嗅探器会对探测到的每一个数据帧产生硬件数据中断,交由操作系统处理,这样就实现了数据截获。利用 ARPsniffer 嗅探数据?实验须先安装 它是 运行的条件,接着在 同一文件夹下新建记事本,输入 Start ,保存为 。 ARPsniffer 有很多种欺骗方式,下面的例子是其中的一种。? ,依次输入以下命令: ?" -sniffall -o f:\ -g -t " (其中 IP地址: 是局域网网关的地址, 是被欺骗主机的 IP地址,试验获取的数据将会被输入到 文件中。)按回车键运行,出现如下图所示的选项,选 1,接着选 0,回车,程序便开始监听了。?2. 停止运行,打开 文件, 在文件中查找,可以发现被欺骗主机的一些敏感信息,如下图:可以发现被欺骗主机注册某网站时的信息: username= netsec password=11223344 等。局域网终结者使用原理?局域网终结者使用原理: 一个主机接收到与自已相同 IP发出的 ARP 请求就会弹出一个 IP冲突框来。利用局域网终结者可以伪造任一台主机的 IP向局域网不停地发送 ARP 请求,同时自已的 MAC 也是伪造的,那么被伪造 IP的主机便会不停地收到 IP冲突提示,致使该主机无法上网。这便构成了局域网终结者的攻击原理。