原创:枫in 也就是我 http://www.imfeng.com
ARP协议--Address Resolution Protocol--地址解析协议
在以太网中,一个主机要和另一个主机进行直接通信,必须要知道目标主机的MAC地址。但这个目标MAC地址是
如何获得的呢?它就是通过地址解析协议获得的。
这是网络底层知识,一个合格的hacker应该必备的知识...入侵时很有用..
首先先说下命令,
arp[-a [InetAddr] [-N IfaceAddr]] [-g [InetAddr] [-N IfaceAddr]] [-d InetAddr [IfaceAddr]] [-s InetAddr EtherAddr [IfaceAddr]]
-a[ InetAddr] [ -N IfaceAddr] 与-a相同 -g[ InetAddr] [ -N IfaceAddr]
显示所有接口的当前 ARP 缓存表。要显示特定 IP 地址的 ARP 缓存项,请使用带有 InetAddr 参数的 arp -a,此处的 InetAddr 代表 IP 地址。如果未指定 InetAddr,则使用第一个适用的接口。要显示特定接口的 ARP 缓存表,请将 -N IfaceAddr 参数与 -a 参数一起使用,此处的 IfaceAddr 代表指派给该接口的 IP 地址。-N 参数区分大小写。
-d InetAddr [IfaceAddr]
删除指定的 IP 地址项,此处的 InetAddr 代表 IP 地址。对于指定的接口,要删除表中的某项,请使用 IfaceAddr 参数,此处的 IfaceAddr 代表指派给该接口的 IP 地址。要删除所有项,请使用星号 (*) 通配符代替 InetAddr。
-s InetAddr EtherAddr [IfaceAddr]
向 ARP 缓存添加可将 IP 地址 InetAddr 解析成物理地址 EtherAddr 的静态项。要向指定接口的表添加静态 ARP 缓存项,请使用 IfaceAddr 参数,此处的 IfaceAddr 代表指派给该接口的 IP 地址。
/? '帮助
Such as
arp -a 显示所有接口的ARP 缓存表
arp -a -N 123.123.123.123 对指定的IP地址为123.123.123.123的接口,显示其ARP缓存表
arp -s 123.123.123.123 FF-FF-FF-FF-FF-FF 将IP地址123.123.123.123解析成物理地址FF-FF-FF-FF-FF-FF并添加到静态ARP缓存项
说完命令后我们来试试效果,
到本机测试:Dos下输入 arp -a,回显
Interface: 192.168.1.2 --- 0x2
Internet Address Physical Address Type
192.168.1.1 00-46-05-01-6a-14 dynamic
这里值得注意的是Type是ip和mac的对应关系类型.
在Ping下局域网下任意一个IP
再次arp -a ,回显
Interface: 192.168.1.2 --- 0x2
Internet Address Physical Address Type
192.168.1.1 00-46-05-01-6a-14 dynamic
192.168.1.5 00-55-05-01-6a-FF dynamic
可以看到多了一个IP,这个就是因为你新ping一个IP后返回那IP的MAC地址会添加到静态ARP缓存项,利用这点我们可以很容易的渗透内网.
比如我们要在内网入侵一主机,但是主机里有防火墙,并且只对某一IP开放.
我们可以先扫描这一IP 如192.168.2.3
思路就是先想办法 让192.168.2.3当机,一旦他死机,主机里面的ARP缓存表就会把这IP删了,然后我们在改自己
的IP,发一个ping 给主机,要求主机更新主机的arp缓存表,主机当然不知道已经换了机器啊,加入我们的IP及与
MAC的对应关系,并且更新arp缓存表,然后我们就可以进一步活动了...
接下来,我们说下基于ARP欺骗的监听原理
监听,我想大家肯定最先想到的是那些嗅探工具,但是那些一旦遇到交换机就没用了,这时候就是ARP出场的时候了
假设有三台主机A,B,还有我们的主机,位于同一个交换式局域网中
A与B正在通信,假如我们想要监听A―>B通信的内容,于是我们就可以给A发送一个伪造的ARP数据包,告诉A,B的IP对应的MAC地址为我们的MAC地址,于是,A也就会相应的刷新自己的ARP缓存,将发给B的数据,源源不断的发送到我们的主机上来,这样我就可以对接收到的数据包进行分析就好了,达到了监听的目的.当然,因为动态ARP缓存是动态的,有超时时间的,所以我们必须每隔一段时间就给A发送一个ARP数据包
虽然我们这样达到了目的,但是A到B的通信却被停止了,为了不让B发现,我们还要对每次接收到的数据包进行转发,全部都转发给B,这样就天衣无缝了
之前的查看QQ号码也就是这个原理..
再说下怎么伪造一个ARP数据包.用到的工具Iris Traffic Analyzer,这是一款网络流量分析监测工具.
首先,我们可以先用Iris Traffic Analyzer截获一个ARP报文,点工具栏上类似播放健,然后对截获的ARP请求报文编辑,让它变成一个免费ARP报文,所谓的免费ARP报文就是“自己请求自己的MAC地址”--主要目的就是避免IP地址冲突!
我们把ARP请求报文的
目的MAC地址由标准的FF-FF-FF-FF-FF-FF,改正我们需要欺骗的目的主机
1.1.1.1的MAC地址:00-0c-76-c6-55-fc
源MAC地址改成我们00-01-02-03-04-05
对于ARP报文头,我们需要修改:
Sender Hardware Address为:00-01-02-03-04-05
Sender IP Address和Target IP Address都改成:1.1.1.1
然后发送报文,在到本机 执行 arp -a 就可以看到结果了...
后记:至于防范,网上到处都是这些文章.
ARP---套用落伍的一句话!
很好,很强大!
很好,很强,也很大!
当前位置:
