什么是 ARP 欺骗和缓存中毒攻击?

如果您熟悉蒙面歌王,您就会明白蒙面歌王的概念:有人伪装成别人。然后,当面具掉下来时,您会大吃一惊,知道了这位名人是谁。类似的事情也发生在 ARP 欺骗攻击中,只是令人惊讶的是,威胁行为者利用他们的伪装发起破坏性攻击——而不是用他们的歌声让您惊叹不已。

在本篇博文中,我们将深入研究 ARP 欺骗和 ARP 缓存中毒攻击,包括它们的工作原理、不同类型的攻击及其影响。

我们还将解释如何检测攻击以及防范 ARP 欺骗的不同方法,以防止威胁者使用该技术在您的网络中制造混乱,甚至更糟——窃取数据、感染恶意软件或完全破坏网络。

什么是 ARP 协议?

在深入研究 ARP 欺骗之前,重要的是要了解 ARP 协议、它在网络通信中的作用以及其引发攻击的弱点。

ARP 代表地址解析协议,它支持OSI 模型中的分层方法,促进网络上不同组件之间的连接和数据流动。ARP 通过媒体访问控制 (MAC) 地址将 Internet 协议 (IP) 地址连接到物理机器。  

主机维护一个 ARP 缓存,即 IP 地址和 MAC 地址之间的映射表。如果主机 A 没有主机 B 的 MAC 地址,它会发出一个 ARP 请求数据包,向网络上的其他机器询问匹配的 MAC 地址。这成为威胁行为者利用的弱点,可以发起 ARP 欺骗或缓存中毒攻击。

ARP 仅适用于较旧的 IPv4 标准,而不适用于较新的 IPv6 标准,后者使用称为网络发现协议 (NDP) 的不同协议。NDP 更安全,并且具有多层防御来验证主机身份。但由于截至 2023 年 12 月,仍有超过一半的互联网用户使用 IPv4,因此 ARP 欺骗仍然是一个问题。

什么是 ARP 欺骗?

ARP 欺骗是指攻击者使用自己设备的 MAC 地址响应 ARP 请求数据包。这样一来,他们便可以在网络上的所有其他设备上伪装成其他人,并拦截发往网络上合法计算机或服务器的 IP 流量和数据。发出请求的主机会将该欺骗地址存储在其 ARP 缓存中并继续使用它,从而在不知不觉中共享了原本不会落入威胁行为者手中的信息。

ARP 缓存中毒可能与 ARP 欺骗混淆。ARP 缓存中毒是指 ARP 缓存被污染,而 ARP 欺骗是攻击者冒充机器地址的行为。无论是哪种情况,其后果可能包括从在网络上制造混乱到数据窃取、会话劫持、中间人攻击和DDoS攻击等一切。

ARP 欺骗攻击工作原理的分步指南

ARP 欺骗可使恶意方拦截、修改甚至停止传输中的数据。这些攻击通常包括以下五个步骤:

攻击者打开ARP欺骗工具,并将该工具的IP地址设置为与目标的IP子网一致。

攻击者使用ARP欺骗工具扫描目标子网中主机的IP和MAC地址。

攻击者选择目标并开始通过网络发送包含攻击者的 MAC 地址与目标的 IP 地址配对的 ARP 数据包。

随着网络上的其他主机缓存欺骗性的 ARP 数据包,攻击范围开始扩大,这些主机发送给受害者的数据开始流向攻击者。

此时,由于攻击者可以窃取越来越多的数据或发起更复杂的后续攻击,因此攻击的影响会扩大。

黑客为何使用 ARP 欺骗

ARP 欺骗尤其危险,因为它被用作发起其他更具破坏性的攻击并造成额外损害的平台。例如:

如果攻击者获得会话 ID,他们就可以访问用户当前登录的帐户。

攻击者可以利用服务器的MAC地址发起DDoS攻击,通过对大量IP地址重复此操作,受害者将不堪重负。

攻击者可以拦截和修改流量,包括向受害者的机器发送恶意文件或恶意网站的链接。

攻击者可以嗅探数据包并窃取数据,除非通信通过 TLS 和HTTPS加密。

ARP 中毒攻击的类型

ARP 中毒攻击有两种发生方式:

1. 攻击者可以等待看到特定目标的 ARP 请求并发出响应。这种方法更隐蔽,但影响也更小。

2. 攻击者可以发送未经请求的广播消息,也称为“免费 ARP”。这种方法更引人注目且更直接,并且影响更多的受害者。

在这两种方法中,受害计算机上损坏的 ARP 缓存可用于传播以下攻击:

中间人 (MiTM) 攻击

攻击者针对给定的 IP 地址(通常是特定子网的默认网关)发送伪造的 ARP 响应。这会导致受害计算机使用攻击者计算机的 MAC 地址(而不是本地路由器的 MAC 地址)填充其 ARP 缓存。受害计算机随后会错误地将网络流量转发给攻击者。然而,对于受害者来说,一切可能看起来都很正常。 

DDoS攻击

DDoS攻击旨在阻止受害者访问网络资源。在 ARP 攻击中,攻击者可能会发送带有数百甚至数千个伪造 IP 地址的 ARP 响应消息,这使得追踪来源变得困难,并压垮目标的基础设施。

会话劫持

会话劫持攻击的性质与中间人攻击类似,不同之处在于攻击者不会直接将流量从受害者机器转发到其预期目的地。相反,攻击者会从受害者那里获取会话 ID,并使用它来冒充受害者的身份。例如,如果目标用户恰好登录,这可用于访问他们的社交媒体或网上银行账户。

如何检测 ARP 欺骗或 ARP 缓存中毒

可以使用终端或命令行中的“arp -a”命令显示 ARP 表来检测 ARP 欺骗攻击。如果表中包含两个不同的 IP 地址,但 MAC(或物理)地址相同,则可能意味着正在进行 ARP 攻击。

还有一些特定工具可以持续监控网络,并可以向管理员发出 ARP 欺骗或 ARP 缓存中毒攻击迹象的警报。如果您正在处理大型网络,这样的工具可以让您免于繁琐的工作,并节省您手动检查数百甚至数千个 ARP 表的时间。

但是,这些工具可能会让管理员因不必要的警报和误报而不知所措。

如何防范 ARP 欺骗或 ARP 缓存中毒

俗话说,“一分预防胜过十分治疗”,对于 ARP 欺骗和 ARP 中毒攻击来说尤其如此。

为了防范这些攻击,最佳实践和技术的结合可以有所帮助,包括:

使用数据包过滤

数据包过滤器会在数据包穿越网络时对其进行检查,有助于过滤和阻止具有冲突源地址信息的数据包,使它们无法到达其他设备。

部署 VPN

VPN会加密您的所有网络流量,因此这些流量对于 ARP 欺骗攻击者来说毫无价值。但是,根据您网络的规模,VPN 可能会变得不切实际并对网络性能产生负面影响,因为您需要在每台计算机和服务器之间建立 VPN 连接。

采用强大的DDoS保护

DDoS攻击形式多样,规模各异,通过向目标服务器或网络发送大量请求使其不堪重负。ARP 欺骗和 ARP 中毒攻击符合这一定义,利用不规则的请求模式。全面的DDoS保护解决方案可防御各种DDoS攻击,包括 ARP 欺骗攻击,以及其他威胁,包括数据盗窃和影响服务可用性的其他类型的攻击。

定义静态 ARP

ARP协议允许您为 IP 地址定义静态 ARP 条目。例如,如果计算机始终连接到同一个路由器,则可以为该路由器定义静态 ARP 条目并消除该地址的 ARP 响应。

使用加密网络协议

传输层安全性 (TLS)、安全外壳 (SSH)、HTTP 安全 (HTTPS)和其他安全通信协议通过在传输前加密数据并在接收数据时进行身份验证来帮助阻止 ARP 欺骗攻击。

避免信任关系

依赖 IP 地址进行身份验证的信任关系很容易让攻击者进行 ARP 欺骗攻击。

运行红/紫队测试

一旦您采取了防御措施,请检查它们是否有效。您可以使用红/紫队测试练习来模拟 ARP 欺骗攻击,并让您有机会解决您发现的任何弱点。

ARP 欺骗攻击基于伪装和操纵元素。威胁行为者对网络上的所有其他设备来说都是其他人,并拦截发往网络上合法计算机或服务器的 IP 流量和数据。ARP 欺骗攻击可能很隐蔽,也可能更引人注目。无论哪种方式,它们都可能带来重大风险。

幸运的是,IPv6 标准使用更安全的 NDP,并且有多层防御来验证主机身份,这使得它不受 ARP 欺骗和 ARP 缓存中毒的影响。但由于不到一半的设备使用 IPv6,这些攻击在可预见的未来仍将是一个问题。

为了防御 ARP 欺骗和 ARP 缓存中毒攻击,组织可以结合使用最佳实践和技术,包括数据包过滤、部署 VPN、定义静态 ARP、使用加密网络协议、避免信任关系以及使用DDoS防护解决方案。

DDoS保护即使在遭受DDoS攻击时也能提供不间断的服务可用性,并可保护您免受 ARP 欺骗攻击以及其他类型的DDoS攻击和可能威胁您运营的后续恶意活动的侵害。

本文来自互联网用户投稿,该文观点仅代表作者本人,不代表本站立场。本站仅提供信息存储空间服务,不拥有所有权,不承担相关法律责任。如若转载,请注明出处:http://www.rhkb.cn/news/440318.html

如若内容造成侵权/违法违规/事实不符,请联系长河编程网进行投诉反馈email:809451989@qq.com,一经查实,立即删除!

相关文章

网站集群批量管理-密钥认证与Ansible模块

一、集群批量管理-密钥认证 1、概述 管理更加轻松:两个节点,通过密钥形式进行访问,不需要输入密码,仅支持单向. 服务要求(应用场景): 一些服务在使用前要求我们做秘钥认证.手动写批量管理脚本. 名字: 密钥认证,免密码登录,双机互信. 2、原理 税钥对…

PyGWalker:让你的Pandas数据可视化更简单,快速创建数据可视化网站

1、PyGWalker应用: 在数据分析的过程中,数据的探索和可视化是至关重要的环节,如何高效地将分析结果展示给团队、客户,甚至是公众,是很多数据分析师和开发者面临的挑战,接下来介绍的两大工具组合——PyGWalker与Streamlit,可以帮助用户轻松解决这个问题,即使没有复杂的代…

VMware ESXi 7.0U3q macOS Unlocker OEM BIOS 2.7 Dell HPE 联想定制版 9 月更新发布

VMware ESXi 7.0U3q macOS Unlocker & OEM BIOS 2.7 Dell HPE 联想定制版 9 月更新发布 VMware ESXi 7.0U3q macOS Unlocker & OEM BIOS 2.7 标准版和厂商定制版 ESXi 7.0U3 标准版,Dell (戴尔)、HPE (慧与)、Lenovo (联想)、Inspur (浪潮)、Cisco (思科)…

五、存储引擎

文章目录 1. 查看存储引擎2. 设置系统默认的存储引擎3. 设置表的存储引擎3.1 创建表时指定存储引擎3.2 修改表的存储引擎4. 引擎介绍4.1 InnoDB 引擎:具备外键支持功能的事务存储引擎4.2 MyISAM 引擎:主要的非事务处理存储引擎5. MyISAM和InnoDB6. 阿里巴巴、淘宝用哪个课外补…

根据给定的相机和镜头参数,估算相机的内参。

1. 相机分辨率和传感器尺寸 最高分辨率:6000 4000 像素传感器尺寸:22.3 mm 14.9 mm 2. 计算像素大小 需要计算每个像素对应的实际尺寸(mm/pixel): 水平方向像素大小: 垂直方向像素大小: …

Ambari搭建Hadoop集群 — — 问题总结

Ambari搭建Hadoop集群 — — 问题总结 一、部署教程: 参考链接:基于Ambari搭建大数据分析平台-CSDN博客 二、问题总结: 1. VMwear Workstation 查看网关 2. 资源分配 参考: 硬盘:master(29 GB&#xff…

面试题1-fail-safe机制与fail-fast 机制

1.定义 Fail-safe 和 Fail-fast,是多线程并发操作集合时的一种失败处理机制。 1.1.Fail-Safe机制 1.1.1.定义 Fail-Safe 机制的设计目标是在发生故障时,系统仍然能够继续运行,尽量避免导致整个系统崩溃。即使发生错误或异常,系统…

task【XTuner微调个人小助手认知】

1 微调前置基础 本节主要重点是带领大家实现个人小助手微调,如果想了解微调相关的基本概念,可以访问XTuner微调前置基础。 2 准备工作 环境安装:我们想要用简单易上手的微调工具包 XTuner 来对模型进行微调的话,第一步是安装 XTu…

vmstat命令:系统性能监控

一、命令简介 ​vmstat​ 是一种在类 Unix 系统上常用的性能监控工具,它可以报告虚拟内存统计信息,包括进程、内存、分页、块 IO、陷阱(中断)和 CPU 活动等。 ‍ 二、命令参数 2.1 命令格式 vmstat [选项] [ 延迟 [次数] ]2…

‌多系统萎缩患者的锻炼秘籍:科学运动,守护健康

亲爱的朋友们,今天我们要聊一个既重要又温馨的话题——多系统萎缩患者的锻炼方法。面对这一挑战,科学而合理的锻炼不仅能帮助患者控制病情,还能提升生活质量。让我们一起走进这份“锻炼秘籍”,为爱加油,为健康护航&…

京东云主机怎么用?使用京东云服务器建网站(图文教程)

京东云主机怎么用?非常简单,本文京东云服务器网jdyfwq.com使用以使用京东云服务器搭建WordPress博客网站为例,来详细说下京东云主机的使用方法。使用京东云服务器快速搭建WordPress网站教程,3分钟基于应用镜像一键搞定&#xff0c…

医院综合服务系统小程序的设计

管理员账户功能包括:系统首页,个人中心,患者管理,医生管理,就诊信息管理,科室信息管理,挂号信息管理,系统管理 微信端账号功能包括:系统首页,订单排队&#…

深度学习:词嵌入embedding和Word2Vec

目录 前言 一、词嵌入(Embedding) 1.传统自然语言处理问题 2.什么是词嵌入 二、Word2vec模型 1.Word2Vec的基本原理 三、CBOW模型训练过程 前言 在机器学习里的自然语言处理,是将语料库中的词语转换成词向量矩阵,再使用朴素…

【车载开发系列】ParaSoft单元测试环境配置(四)

【车载开发系列】ParaSoft单元测试环境配置(四) 【车载开发系列】ParaSoft单元测试环境配置(四) 【车载开发系列】ParaSoft单元测试环境配置(四)一. 如何设置过滤二. 如何设置静态扫描的规则三. 如何设置单…

气膜馆的多元化盈利模式与市场前景—轻空间

随着市场经济的不断繁荣,气膜馆作为一种创新型场馆,凭借其独特的结构设计和灵活的运营模式,逐渐成为创业者关注的焦点。那么,气膜馆如何通过多元化经营实现盈利?本文将为您详细解析气膜馆的经营模式与发展机会。 气膜馆…

【测试】接口测试与接口自动化

壹、接口测试基础 一、接口测试概念 I、基础概念 是测试系统组件间接口的一种测试。 主要用于检测外部系统与系统间、内部子系统间的交互点;测试重点检查数据的交换、传递和控制管理过程,以及系统间的相互逻辑依赖关系。 内部接口调用相当于函数调用&am…

Spring Boot与iTextPdf:高效生成PDF文件预览

​ 博客主页: 南来_北往 系列专栏:Spring Boot实战 在现代应用程序开发中,生成PDF文件是一个常见的需求。PDF文件因其跨平台性和易读性,被广泛应用于文档交换、报告生成和打印预览等场景。Spring Boot作为一个用于简化Spring应用开发的框…

毕设 大数据抖音短视频数据分析与可视化(源码)

文章目录 0 前言1 课题背景2 数据清洗3 数据可视化地区-用户观看时间分界线每周观看观看路径发布地点视频时长整体点赞、完播 4 进阶分析相关性分析留存率 5 深度分析客户价值判断 0 前言 🔥 这两年开始毕业设计和毕业答辩的要求和难度不断提升,传统的毕…

基于51单片机的多路电压测量proteus仿真

地址:https://pan.baidu.com/s/1cpgtfl571DcKfjhKvcKqSA 提取码:1234 仿真图: 芯片/模块的特点: AT89C52/AT89C51简介: AT89C52/AT89C51是一款经典的8位单片机,是意法半导体(STMicroelectron…

三种环境下,没有公网ip的虚拟机访问公网的方法

1. windows真机vmware虚拟机 2. 云平台,虚拟机A(有公网ip,有内网ip)虚拟机B(只有内网ip) 3. linux真机kvm虚拟机 ------------------------------------------------------------------------------ 第…