7.12、中间人攻击(ARP欺骗)

一、ARP协议原理

        地址解析协议(Address Resolution Protocol,ARP),负责把目的主机的IP 地址解析成目的MAC地址地址解析的目标就是发现逻辑地址与物理地址的映射关系。网络中的计算机、交换机、路由器等都会定期维护自己的ARP缓存表。

        为什么需要ARP?

        在发送者给其他的网络设备发送数据的时候, 是以数据帧的形式发送的,数据帧是由源MAC地址和目的MAC地址组成的,如果发送者只知道目的主机的IP地址, 不知道目的主机的MAC地址, 就不能把这个数据包转化成数据帧发走。

        如果发送者和接收者在同一个网络内,arp解析的就是接收者的MAC地址。如果发送者和接收者不在同一个网络内, arp解析的就是这个网络内网关的接口MAC地址。

        ARP协议工作原理主要是ARP高速缓存(ARP cache)。ARP高速缓存就是一个映射表,它记录了IP地址和物理地址的映射关系。在实际传输中,通常已知下一跳的目的IP地址,通过查询ARP高速缓存即可知道对应的物理地址。

        假设AA,BB,CC分别为PC1,PC2,PC3各自的MAC地址,且二层交换机只解封到帧数据包,也就是说,只认MAC地址(ARP是网络层协议)

        当PC1向PC3发送data数据时,因为不知道PC3的MAC,会发送ARP广播来获取MAC地址。

        ARP广播:目的MAC为FF,源MAC为AA,源IP为10.1.1.1,目的IP为10.1.1.3的数据包,PC2收到该数据包发现目的IP不是本机IP,丢弃;PC3收到后发现目的IP与本机IP一致,则给PC1发送单播ARP响应报文告知自己的MAC地址。

二、中间人攻击原理

        假设PC2装了ARP攻击工具,其可以发送伪装的ARP报文,当PC1发送ARP广播:目的MAC为FF,源MAC为AA,源IP为10.1.1.1,目的IP为10.1.1.3的数据包后,PC3收到后会返回单播报文告知MAC(我是10.1.1.3我的MAC是CC),此时,PC1的ARP缓存表认为10.1.1.3映射的MAC为CC;然后PC2利用ARP工具也回复了同样的单播ARP响应报文告知MAC(我是10.1.1.3我的MAC是BB),此时,PC1的ARP缓存表认为10.1.1.3映射的MAC为BB(ARP缓存映射原则为谁后到达学谁),则前一条映射被覆盖。通常PC3的ARP响应报文只会回复一次,而PC2利用ARP攻击工具可以回复N次,所以PC1最后的ARP缓存映射必然是10.1.1.3映射的MAC为BB。

        然后,PC1会发送数据包(目的MAC为BB,源MAC为AA,源IP为10.1.1.1,目的IP为10.1.1.3,data),交换机并不会解封装IP头,所以根据目的IP为BB,则将其发送至PC2,但因为PC3未收到该报文,则不会响应PC1。为了避免窃听被发现,当数据包(目的MAC为BB,源MAC为AA,源IP为10.1.1.1,目的IP为10.1.1.3,data)发送至PC2,PC2读取后,将数据包修改为(目的MAC为CC,源MAC为AA,源IP为10.1.1.1,目的IP为10.1.1.3,data)转发至PC3,PC3响应。同时,PC2也可以欺骗PC3,告知PC3(我是10.1.1.1,MAC为AA),那么PC3最后的ARP缓存映射是10.1.1.1映射的MAC为BB。最终,PC2可以窃取PC1与PC3之间的通信报文,即中间人攻击(ARP欺骗)。

        另,当PC2发送ARP广播(目的MAC为FF,源MAC为BB,源IP为10.1.1.1,目的IP随意),那么接收到该广播的PC无论是否为目的IP主机,都会在自己的ARP缓存表映射10.1.1.1的MAC为BB,以此类推,修改源IP地址继续发送ARP广播(目的MAC为FF,源MAC为BB,源IP为10.1.1.2,目的IP随意),那么最终10.1.1.1-254映射的MAC都是BB。