您现在的位置：首页 > 实用文 > 其他范文

arp双向和单向欺骗原理解析

时间：2022-05-24 00:56:38 其他范文收藏本文下载本文

【导语】下面是小编收集整理的arp双向和单向欺骗原理解析（共5篇），仅供参考，希望能够帮助到大家。

arp双向和单向欺骗原理解析

篇1：arp双向和单向欺骗原理解析

arp双向欺骗原理

开两台虚拟机：10.6.1.20 和10.6.1.73 网关：10.6.3.254 用10.6.1.20做为攻击主机，10.6.1.73做为被攻击主机，用网关，被攻击主机做双向欺骗。工具怎么用，不做具体说明。

攻击主机：10.6.1.20 00-e0-4c-02-d6-eb

被攻击主机：10.6.1.73 00-1e-8c-1f-4c-fc

网关：10.6.3.254 00-19-5b-12-43-c1

攻击主机发送ARP应答包给被攻击主机和网关，它们分别修改其ARP缓存表为10.6.3.254 00-e0-4c-02-d6-eb和10.6.1.73 00-e0-4c-02-d6-eb 看出来怎么回事了吧修改的全是攻击主机的MAC地址，这样它们之间数据都被攻击主机截获。

arp单向欺骗原理

1、掐断A 与B 的通讯，实现原理：C 向A 发送一条Arp 数据包，内容为：B 的地址是00:00:00:00:00:00 （一个错误的地址），那么A 此后向B 发的数据包都会发到00，而这个地址是错误的，所以通讯中断了，但是要注意了，这里只是A --> B 中断了，B --> A 没有中断，所以这个叫单向欺骗，

2、掐断B 与A 的通讯，实现原理和第一条一样，如果和第一条一起发，那么A 和B 的通讯就完全中断了，即：A <-- ×--> B

3、嗅探A 与B 的通讯，实现原理：C 向A 发送一条Arp 数据包，内容为：B 的地址是AA:BB:CC:DD:EE:FF （C自己的地址），也就是说，C 对A 说：我才是B，于是A 把向B 发送的数据都发给C 了，C 得到数据后就可以为所欲为了，可以直接丢弃，那么通讯中断，也可以再次转发给B，那么又形成回路，C 当了个中间人，监视A 和B 的通讯，此时你就可以用CAIN等任何抓包工具进行本地嗅探了，因为目标机器数据完全从你这你走，任意嗅探。当然你可以不转发所有数据，只转发部分数据，把某些特定协议的数据分离出来，然后单独处理，例如替换、修改（类似zxarp 等Arp 工具的插入、劫持数据功能），或者干点其他啥，都行。

篇2：杜绝混乱，网吧ARP欺骗原理及危害

网吧是最常见的局域网，相信很多读者都曾经到网吧上网冲浪，不过在使用过程中是否出现过别人可以正常上网而自己却无法访问任何页面和网络信息的情况呢？虽然造成这种现象的情况有很多，但是目前最常见的就是ARP欺骗了，很多工具甚至是病毒都是通过ARP欺骗来实现对主机进行攻击和阻止本机访问任何网络信息的目的，今天笔者就为各位介绍ARP欺骗的原理及危害，让我们对这个攻击方式有一个清晰的了解。

一，什么是ARP协议？

ARP协议是“Address Resolution Protocol”（地址解析协议）的缩写。在局域网中，网络中实际传输的是“帧”，帧里面是有目标主机的MAC地址的。在以太网中，一个主机要和另一个主机进行直接通信，必须要知道目标主机的MAC地址。但这个目标MAC地址是如何获得的呢？它就是通过地址解析协议获得的。所谓“地址解析”就是主机在发送帧前将目标IP地址转换成目标MAC地址的过程。ARP协议的基本功能就是通过目标设备的IP地址，查询目标设备的MAC地址，以保证通信的顺利进行。所以说从某种意义上讲ARP协议是工作在更低于IP协议的协议层。这也是为什么ARP欺骗更能够让人在神不知鬼不觉的情况下出现网络故障，他的危害更加隐蔽。

二，ARP欺骗的原理：

首先我们可以肯定一点的就是发送ARP欺骗包是通过一个恶毒的程序自动发送的，正常的TCP/IP网络是不会有这样的错误包发送的，而人工发送又比较麻烦。也就是说当没有运行这个恶毒程序的话，网络上通信应该是一切正常的，保留在各个连接网络计算机上的ARP缓存表也应该是正确的，只有程序启动开始发送错误ARP信息以及ARP欺骗包时才会让某些计算机访问网络出现问题。接下来我们来阐述下ARP欺骗的原理。

第一步：假设这样一个网络，一个Hub或交换机连接了3台机器，依次是计算机A，B，C。

A的地址为：IP：192.168.1.1 MAC: AA-AA-AA-AA-AA-AA

B的地址为：IP：192.168.1.2 MAC: BB-BB-BB-BB-BB-BB

C的地址为：IP：192.168.1.3 MAC: CC-CC-CC-CC-CC-CC

第二步：正常情况下在A计算机上运行ARP -A查询ARP缓存表应该出现如下信息。

Interface: 192.168.1.1 on Interface 0x1000003

Internet Address Physical Address Type

192.168.1.3 CC-CC-CC-CC-CC-CC dynamic

第三步：在计算机B上运行ARP欺骗程序，来发送ARP欺骗包。

B向A发送一个自己伪造的ARP应答，而这个应答中的数据为发送方IP地址是192.168.10.3（C的IP地址），MAC地址是DD-DD-DD-DD-DD-DD（C的MAC地址本来应该是CC-CC-CC-CC-CC-CC，这里被伪造了），

当A接收到B伪造的ARP应答，就会更新本地的ARP缓存（A可不知道被伪造了）。而且A不知道其实是从B发送过来的，A这里只有192.168.10.3（C的IP地址）和无效的DD-DD-DD-DD-DD-DD mac地址。

第四步：欺骗完毕我们在A计算机上运行ARP -A来查询ARP缓存信息。你会发现原来正确的信息现在已经出现了错误。

Interface: 192.168.1.1 on Interface 0x1000003

Internet Address Physical Address Type

192.168.1.3 DD-DD-DD-DD-DD-DD dynamic

从上面的介绍我们可以清楚的明白原来网络中传输数据包最后都是要根据MAC地址信息的，也就是说虽然我们日常通讯都是通过IP地址，但是最后还是需要通过ARP协议进行地址转换，将IP地址变为MAC地址。而上面例子中在计算机A上的关于计算机C的MAC地址已经错误了，所以即使以后从A计算机访问C计算机这个192.168.1.3这个地址也会被ARP协议错误的解析成MAC地址为DD-DD-DD-DD-DD-DD的。

问题也会随着ARP欺骗包针对网关而变本加厉，当局域网中一台机器，反复向其他机器，特别是向网关，发送这样无效假冒的ARP应答信息包时，严重的网络堵塞就会开始。由于网关MAC地址错误，所以从网络中计算机发来的数据无法正常发到网关，自然无法正常上网。这就造成了无法访问外网的问题，另外由于很多时候网关还控制着我们的局域网LAN上网，所以这时我们的LAN访问也就出现问题了。

三，ARP欺骗的危害：

前面也提到了ARP欺骗可以造成内部网络的混乱，让某些被欺骗的计算机无法正常访问内外网，让网关无法和客户端正常通信。实际上他的危害还不仅仅如此，一般来说IP地址的冲突我们可以通过多种方法和手段来避免，而ARP协议工作在更低层，隐蔽性更高。系统并不会判断ARP缓存的正确与否，无法像IP地址冲突那样给出提示。而且很多工具例如网络剪刀手等，可以随时发送ARP欺骗数据包和ARP恢复数据包，这样就可以实现在一台普通计算机上通过发送ARP数据包的方法来控制网络中任何一台计算机的上网与否，甚至还可以直接对网关进行攻击，让所有连接网络的计算机都无法正常上网。这点在以前是不可能的，因为普通计算机没有管理权限来控制网关，而现在却成为可能，所以说ARP欺骗的危害是巨大的，而且非常难对付，非法用户和恶意用户可以随时发送ARP欺骗和恢复数据包，这样就增加了网络管理员查找真凶的难度。那么难道就没有办法来阻止ARP欺骗问题的发生吗？下篇文章笔者将就这些内容进行讲解，让我们真真正正的和ARP欺骗说再见。

篇3：影响网络通畅ARP欺骗的方式和原理

从影响网络连接通畅的方式来看，ARP 欺骗大概可以分为两种，一种是对路由器ARP表的欺骗，这种方法可以破坏系统的ARP缓存表，从而组成内外IP地址的混乱。另一种是对局域网里面计算机的网关欺骗，让内网计算机系统的数据报通过假网关来发送。

第一种ARP 欺骗的原理是截获网关数据。它通知路由器一系列错误的内网MAC地址，并按照一定的频率不断进行地址的更换，使真实的地址信息无法通过更新保存在路由器中，结果路由器的所有数据只能发送给错误的MAC地址，从而造成计算机访问精心构建的网络陷阱。

第二种ARP 欺骗的原理是伪造网关。它的原理是建立假网关，让被它欺骗的计算机向假网关发数据，而不是通过正常的路由器途径上网。在用户的角度看来，就是上不了网了以及网络掉线了，这样会给用户造成系统网关出错的假象。

如何利用“ARP 欺骗”入侵

要进行ARP 欺骗入侵只需要一个前提条件，就是进行入侵的计算机和被攻击的计算机要在一个局域网的网段中。由于ARP 欺骗是通过数据包进行欺骗的，所以在进行操作以前要在本地计算机安装一个驱动程序WinPcap(图1)。

打开系统的命令提示符命令，并切换到利用工具所在的目录，接着执行利用工具命令：arpspoof.exe /n，然后会生成一个文本文件，

现在打开这个文本文件后按照自己的需求进行编辑，比如可以将“Hack by cooldiyer”改为“该系统已经被我成功入侵!”(图2)。

在命令提示符窗口输入命令：ArpSpoof 192.168.1.6 192.168.1.3 80 2 1 /r job.txt，其中192.168.1.6表示入侵计算机的IP地址，192.168.1.3表示被侵计算机的IP地址，80表示用于欺骗的远程端口。

后面的相关参数设置，用户应该根据自己网络网关的实际类型(例如有些网关地址为192.168.0.1有些则是192.168.110.1)情况进行设置。当准确键入以上命令后回车，程序就可以进行ARP 欺骗攻击(图3)。当其他用户访问这台服务器的80端口后，从浏览器看到的就是我们文本文件中的内容。

刚才只是利用ARP 欺骗进行了网站攻击，现在利用另一款欺骗工具进行木马传播。在命令提示符窗口查看ARP 欺骗工具zxarps.exe的使用方法，然后键入命令：zxarps.exe -idx 0 -ip 192.168.1.7-192.168.1.255 -port 80 -insert “

篇4：实例解析通过流量检测查找ARP欺骗

ARP欺骗攻击是十分普遍的一种攻击形式，受攻击的机构内网会因为ARP欺骗攻击导致网络缓慢甚至停滞的现象发生，本篇文章将通过一次学校受到ARP欺骗攻击的实例，来讲述如何通过网络流量检测来查找出ARP欺骗攻击，从而解决网络缓慢的情况。

信息中心立即着手进行调查，据老师们反映上网有时候网页打开速度非常缓慢，有时丝毫没有动静，直接显示无法打开网页。不过，在非上班时间，如中午和晚上等休息时间，网络一切正常。

根据这一情况，网络硬件故障的可能性微乎其微，经过检查没有发现异常情况，排除了物理上的错误。看来是软件上的问题，脑海中的第一反应就是目前比较流行的ARP攻击。ARP协议的中文名为地址解析协议，用于将网络中的IP地址解析为硬件地址（MAC地址），以保证通信的顺利进行。当计算机接收到ARP应答数据包的时候，就会对本地的ARP缓存进行更新，将应答中的IP和MAC地址存储在ARP缓存中。所以在网络中，如果有人发送一个自己伪造的ARP应答，网络可能就会出现问题，这就是ARP欺骗，其常见的特征就是主机频繁掉线。

我们的网络症状与之非常相似，但是ARP攻击需要找到它的源头，一般的方法很难查找，需要在交换机上进行抓包分析，于是找到了IrisNetworkTrafficAnalyzer（以下简称Iris）。这是一款网络流量分析监测工具，可以帮助系统管理员轻易地捕获和查看用户的使用情况，同时检测进入和发出的信息流，自动进行存储和统计，

这款软件的图标很像一只眼睛，看来“火眼金睛”是找到了，现在就花工夫怎么用好它了！

由于该教学楼的交换机是一台非网管型交换机，只好拿着笔记本电脑在网络设备房“蹲点”。把笔记本电脑连接在交换机端口上，打开Iris

依旧是我们熟悉的典型Windows软件风格，单击开始捕获按钮，Iris开始工作，对数据包实施抓捕。Iris对数据包抓捕的同时对其进行分析，我可以点击某一时刻的数据包在快速分析窗口中查看解析内容。在Statistics（统计表）窗口中，我们可以浏览实时数据统计图，对Protocol（网络协议）、TopHosts（最高流量主机）、SizeDistribution（数据包大小分类）和Bandwidth（带宽）进行直接查看。

不一会，“凶手”出现了！Iris捕获窗口出现了大量的ARP数据包，Protocol（网络协议）图表显示出来的ARP数据包在不断增长！整个网络的流量一下加大了好几倍！

为了分析方便，用Iris的Filters（过滤）功能，将ARP和ReverseARP两种类型的数据过滤出来。终于，找到了ARP欺骗的真凶了，在捕获窗口中可以看到，有两个假IP地址（0.136.136.16和1.136.136.16），所有的ARP数据包源都是来自MAC地址为52:54:AB:37:0D:B0的电脑，终于掌握罪证了！也就是说，找到这个MAC地址的电脑就可以铲除祸根了！

接下来的工作就简单了，拿出平时记录好的“MAC-IP-计算机名”对应表，找到真凶电脑，对其进行断网、系统重装、查杀病毒等操作，确认安全后，再连接上网。网络又恢复了往日的宁静，学校的正常教学秩序得到了保证。

篇5：linux下面玩arp欺骗与嗅探（双向、多ip）网站安全

算是一个记录过程吧，windows下面玩cain久了，发现他占cpu高，关键是没有命令行的，

今天也碰到个linux的，直接获得了root密码。上去玩centos的arp欺骗与sniff。（先本地虚拟机里面用federa core 10测试了）。

用的是dsniff,具体安装资料见前面转载的文章。另外，我安装了tcpdump。

这儿说下tcpdump的过滤参数：

第一种是关于类型的关键字，主要包括host，net，port, 例如 host 210.27.48.2，指明 210.27.48.2是一台主机，net 202.0.0.0 指明 202.0.0.0是一个网络地址，port 23 指明端口号是23。如果没有指定类型，缺省的类型是host.

第二种是确定传输方向的关键字，主要包括src , dst ,dst or src, dst and src ,这些关键字指明了传输的方向。举例说明，src 210.27.48.2 ,指明ip包中源地址是210.27.48.2 , dst net 202.0.0.0 指明目的网络地址是202.0.0.0 。如果没有指明方向关键字，则缺省是src or dst关键字。

第三种是协议的关键字，主要包括fddi,ip,arp,rarp,tcp,udp等类型。Fddi指明是在FDDI(分布式光纤数据接口网络)上的特定的网络协议，实际上它是”ether"的别名，fddi和ether具有类似的源地址和目的地址，所以可以将fddi协议包当作ether的包进行处理和分析。其他的几个关键字就是指明了监听的包的协议内容。如果没有指定任何协议，则tcpdump将会监听所有协议的信息包。

除了这三种类型的关键字之外，其他重要的关键字如下：gateway, broadcast,less,greater,还有三种逻辑运算，取非运算是 'not ' '! ', 与运算是'and','&';或运算是'or' ,'││'；这些关键字可以组合起来构成强大的组合条件来满足人们的需要，下面举几个例子来说明，

例如：

#tcpdump host 210.27.48.1

#tcpdump host 210.27.48.1 or 210.27.48.2

#tcpdump tcp port 23 host 210.27.48.1

具体参照：www.thismail.org/bbs/thread-2787-1-1.html

特别注意:如果想dump包给别的软件分析,tcpdump的包长度限制截断默认90个字节一定要去掉.

即加上-s 0 参数.

dsniff的使用：

www.godupgod.com/post/102.html

arpspoof [-iinterface] [-t target ip] host

其中target与host的ip，根据我的测试，应该是随便可以，只是决定单向的方向。

比如host写网关，target写要欺骗的ip，那么都是网关给外面的包。