Toad的博客

免费ARP包是标准ARP请求包的特例，目的MAC地址仍是二层广播地址FFFF-FFFF-FFFF，源MAC地址是发送ARP请求主机的MAC地址，然而，源IP和目的IP都是发送主机的IP。这就是免费ARP包和标准ARP请求包的区别。

如果大家，看到一个ARP请求包的目的MAC是一个单播地址，那么就要引起警觉了！当然，不排除一些二层安全技术使用这种不标准的ARP请求包用于维护网关上的映射表，谁叫ARP机制没认证机制，想怎么做都行。

免费ARP包一般产生于系统引导时，网络模块用于确定当前使用的IP地址，同段内是否还有其他人在使用。当主机发送一个免费ARP包后，未收到应答，说明IP无冲突，反之则报错。

免费ARP还有另外一个作用，如果发送免费ARP请求的主机更换了网卡，这个包正好用于修改其他主机MAC缓冲池中的映射关系。通过这个功能，足可看出ARP机制的脆弱性。《TCP/IP详解 卷1：协议》第45页23行有这么一句话：“主机接收到任何ARP请求都要完成这个操作”，唉，这就是ARP攻击泛滥的根本原因。不知何时才能得到纠正，全世界统一升级二层ARP协议是个难题！再次郁闷！

以下是免费ARP的抓包结果图：

前面两篇文章叙述了ARP欺骗攻击的原理和最有效的防御措施！这篇文章，我们从Sniffer的角度，进行客观的分析！还是老规矩，实例在文章的结尾处下载（用“科来”打开，实例来自csna）！请看下面两张图：

                                                                    图1

                                                                    图2 

Toad先不告诉大家，这两张图中，什么地方的数据是很敏感的！请，读者朋友仔细观察，以找到答案！

waiting。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。

哈哈，找到了吗？

如果，未找到，请接着往下看。编号为1 的包，是一个ARP请求。在这个ARP请求中，源IP和目标IP都是：192.168.1.254。为什么会这样呢？请大家回忆“什么是ARP攻击”这篇文章中所讲的内容，对，这个包就是Toad说过的“1）、第一个ARP请求包用于查询同网段内是否有跟自己IP相同的主机”，以后讲“ARP免费”机制时再详加讨论。这个包对于我们抓到凶手，有一定的参考价值，因为这个包是由ARP协议自动产生，并非用户行为。那么 ，这里的源MAC和源IP就绝对是真实的，下文，就不用Toad多说了吧！但是，“ARP免费”机制是否只在系统引导时触发，Toad不敢肯定，没做过这种实验，没有实践经验的问题，Toad向来不喜欢下定论！如果，“ARP免费”机制只在主机引导时产生，那么这个包，就很难抓到了！攻击者，不会攻击一会儿，就重启吧！哈哈，万一真被抓到了，那就要恭喜你了，可以省不少力气！

我们再看编号为2的包，这里的源MAC已经发生变化了，但，源IP依然是：192.168.1.254。说明，ARP欺骗已经开始！（看到这里，也说明，这个实例，只是这个实例作者自己搞的一个测试而已，并非真正的ARP欺骗行为！）“目的MAC”已经变为单播，目的IP已经是被害者的IP。

ARP欺骗攻击实例：点击下载

文章来源于>>TCP/IP协议分析博客           转载请注明：Toad的博客

我们接着讨论。回到上一讲提出的问题：“这种欺骗会导致什么样的后果呢？”

由于，受害主机的MAC缓冲池被恶意修改，网关的MAC被修改为了攻击者的MAC。当受害主机向Internet发送数据时，这些数据会被导向攻击主机，而不是网关（具体原理，在分析ARP协议时，会详加解释，这里大家只要记住会造成这种后果就行了）！这种后果是非常是严重，轻则上不了Internet，重则用户数据被盗（例如：游戏、WEB、e_mail帐号等等）。例如：HTTP数据，一般情况下HTTP数据是未加密的，HTTPS用的比例相对较少。攻击主机收到这些HTTP包后，会反解到应用层读出封装在HTTP协议中的用户数据，到了这一步，会发生什么，就不用Toad多说了！有段时间，大量用户的传奇帐号被盗，就是这种方式！

预防ARP欺骗攻击的最好形式，还是“IP—MAC”的静态绑定！再次重申：主机、交换机、网关都要做相应的静态绑定处理！因为这三者都有自己的MAC缓冲池，攻击者改其中一个的MAC缓冲池，都会导致一系列故障！

文章来源于>>TCP/IP协议分析博客                  转载请注明：Toad的博客

ARP欺骗攻击，是非常常见的一种ARP攻击。如果把ARP广播攻击归类于莽夫型攻击，那么，ARP欺骗攻击，就是智者型攻击！

攻击者，一般会伪造ARP回应包（注意，这里是ARP回应包，不再是ARP请求包）。伪造一些什么样的信息呢？首先，大家要弄明白，攻击要对受害者进行什么样的欺骗。一般情况下，攻击主机想修改被害主机MAC缓冲池中的网关IP所对应的MAC！这种欺骗会导致什么样的结果呢？请看下图：

这是，我们目前最常用的一种网络拓扑图。有些企业或者机构，他们使用的不是交换机，而是路由交换机，网关就做在路由交换机上！IDC机房的网络拓扑就更专业了，由多个这种网络单元组成！但，这不影响我们接下来要讨论的东东！不管什么拓扑结构，什么交换设备，都是用的TCP/IP协议（这种说法，只针对于我们讨论的组网技术，当然，还有其他网络协议）。

攻击主机、3台被害主机、交换机和网关它们都有自己的MAC缓冲池！在正常情况下，攻击主机、3台被害主机和交换机的MAC缓冲池中都有一条“网关IP—–网关MAC”的记录！攻击主机的目的就是把3台被害主机和交换机MAC缓冲中这条记录改为“网关IP——攻击主机MAC”！

文章来源于>>TCP/IP协议分析博客                      转载请注明：Toad的博客

OK，我们继续！面对ARP攻击，其实，我们很无赖！这是协议BUG，没办法防御，网上很多防御措施，但，在ARP洪水攻击下，网络质量都会大大下降！防御ARP攻击最有效的方式还是IP—MAC的三向绑定！

1、主机端静态绑定

2、网关端静态绑定

3、交换机静态绑定

ARP攻击者一样可以改写网关的MAC缓冲池，导致网关转发数据包时，出现错误！交换机中也有MAC缓冲池，所以一样要静态绑定！平时的那些ARP防火墙，在实际应用中，偶尔会导致正常应用出现问题！有条件的朋友，一定要要求IDC托管商进行交换机绑定。Toad在CSNA找了两个ARP攻击的sniffer结果，对了，还得说一下，对于初学者做sniffer实验时，最好选用HUB不要用SWITCH，原因，我们以后解释。请看下图：

这个例子，不是真正意义上的ARP攻击！只是作者自己用软件模拟的“ARP广播风暴”式攻击！为什么叫“广播式”呢？大家看，这些ARP攻击包的目标MAC全为：FFFF-FFFF-FFFF（二层广播地址），交换机接到这种ARP包，会转发给交换机上所有电口所接的主机！主机接到这种ARP广播包，链路层是不会直接删除的！

我们来说说，正常的ARP请求包该是个什么样子。正常ARP请求包目的MAC也为：FFFF-FFFF-FFFF，但目的IP是为空的，为什么呢？原因很简单，如果已然知晓对方IP，就没有理由再发出ARP请求包了！大家看看这些ARP攻击包是什么样子：

目标IP不为空，而且，每个ARP包中的目标IP都不一样，这一点，只有大家自己用“科来”打开Sniffer包看一下了！后面，Toad会上传的！

如果你的网段中，出现以下现象：

1、ARP请求包的包量大

2、ARP请求包的目的MAC全为FFFF-FFFF-FFFF

3、ARP请求包中的目的IP不为空，而且，动态变化

不用怀疑，ARP攻击来了！

ARP广播风暴抓包实例：点击下载

文章来源于>>TCP/IP协议分析博客                         转载请注明：Toad的博客

在讲ARP攻击之前，要先对国产的“科来网络分析系统”提出赞扬！很不错的国产软件，严重支持！当Toad正在为大量的实例而苦恼时，豁然发现网络分析论坛(CSNA)有大量的实例！这些实例都是遇到网络故障的朋友Sniffer的内容。这种实例最大的优点，就是千变万化！很多故障Toad短时内也无法得出答案，这才有意思，老是讲些皮毛和概念没意思，SE一搜，一大堆！以后，Toad会逐渐从CSNA随机选取实例来做讲解！分析的工具有两个：

1、科来网络分析系统

2、Sniffer Pro 4.75

废话不多说了，开始这一讲的正题！什么是ARP攻击，这个问题大家去问SE吧，网上这种文章多如牛毛（哈哈，抱歉，文章取了这么一个题目）！ARP攻击原理，待，我们以后分析完ARP协议后，自然知晓！这里，我们要做到如何判断一个网络中，是否发生了ARP攻击。要做到这一点，只需要Sniffer一下就很直观了，一般情况下，一个网段内，ARP包是非常少的，为什么少呢？如果一个正常的网段内实时的ARP包都很多，那么MAC缓冲池设计就失去意义了！网关上有MAC缓冲池，主机上也有MAC缓冲池。一台主机进入网络，一般情况下只产生两个ARP包：

1）、第一个ARP请求包用于查询同网段内是否有跟自己IP相同的主机

2）、第二个ARP请求用于获得网关的MAC，网关返回一个ARP回应，正是网关的这个ARP回应，促使主机在自己的MAC缓冲池中建立了一条“网关IP——网关MAC”的记录。

经过以上两步后，主机短时内是不会再产生ARP请求的，除非有其他进程促使ARP请求包的生成，或者网关MAC变化，网络不通等等！正是因为MAC缓冲池机制，导致了ARP攻击的可能！通过上面的叙述，我们很容易发现ARP协议的一个重大弊端——那就是ARP协议无验证机制！人人都可以改写其他主机MAC缓冲池中的“IP—–MAC”记录。只要会网络编程，做到这一点很简单！今天就到这里了。。。。下一讲继续！

文章来源于>>TCP/IP协议分析博客                     转载请注明：Toad的博客