由於現在筆電電腦,手機等設備對互聯網連接的需求非常大,公共WiF已經非常普遍了。雖然這為使用該服務的人提供了便利,但是會有很多意想不到的事情都有可能發生,因為公共WiFi基本上意味著任何擁有能夠連接到WiFi網絡的設備的人都可以玩弄。
在本文中,我將粗略描述ARP攻擊的原理和如何防禦ARP攻擊。
ARP欺騙不是一種新技術。它已經存在了相當長的一段時間。
ARP欺騙就好像是攻擊者不斷地跟局域網中的其他設備說:"嘿!我是路由器!向我發送您想要在網絡中交換的詳細資訊"。這是通過不斷向該特定設備發送包含欺騙細節的ARP數據包,以便它相信它正在與它應該與之通話的設備通話。
本文的目標是公共WiFi網絡,使用場景可以更好地解釋這一點:
假設場景在咖啡店。這家咖啡店提供"免費WiFi",方便客人連接互聯網。"免費WiFi"由本地網絡中IP地址為192.168.1.1的無線路由器提供服務,無線路由器的MAC地址為5F:8B:B9:86:29:22。
然後,順序發生以下事件:
1、合法用戶連接到咖啡店提供的公共WiFi網絡,並獲得IP地址192.168.1.100。假設此用戶使用的手機的MAC地址為9E:E6:85:8B:21:32。
正常連接過程
2、用戶打開他的手機瀏覽器並使用公共WiFi服務連接到互聯網。在這種情況下,他的手機通過ARP表知道接入點的IP地址是192.168.1.1,其MAC地址是5F:8B:B9:86:29:22。
正常訪問過程
3、攻擊者連接到同一公共WiFi網絡,並獲得IP地址192.168.1.101。假設此用戶正在使用MAC地址為8E:9E:E2:45:85:C0的筆電電腦。
入侵者電腦連接無線路由器
4、攻擊者使用接入點192.168.1.1的IP地址而不是他分配的IP地址192.168.1.101來製作包含其MAC地址8E:9E:E2:45:85:C0的偽ARP數據包。然後,攻擊者使用這個精心製作的數據包來泛洪(廣播)給合法用戶的手機,其IP為192.168.1.100,使其更新其ARP表條目:
入侵者發送ARP欺騙包
一旦數據包被發送,移動電話的ARP表就會更新以下資訊:
192.168.1.1(接入點的IP)8E:9E:E2:45:85:C0(攻擊者的MAC)
而不是:
192.168.1.1 (接入點的IP)5F:8B:B9:86:29:22(接入點的MAC)
發生這種情況時,用戶每次連接到互聯網時,網絡流量並不是發送到無線路由器,而是會把所有的網絡流量轉發給攻擊者的設備,因為網絡中的設備的APP表中IP 192.168.1.1與攻擊者的MAC地址是相關聯的。然後攻擊者接收到被攻擊者的網絡流量時是可以將接收到的網絡流量轉發到無線路由器(中間人攻擊)再由無線路由器將這些網絡流量發送到互聯網上,又或者是直接不轉發給路由器這樣就會導致用戶無法連接到互聯網。
欺騙成功,用戶的網絡流量先發送到入侵者的電腦,再由入侵者的電腦發送到路由器
受到ARP欺騙攻擊,黑客就可以截取你所有的網絡流量,再慢慢一一進行分析,這裡自行腦補一下。
這種攻擊很容易做到,那麽應該如何防禦呢?除了購買一些"可能"可以抵禦這種攻擊的硬體設備之外,還有一個非常簡單的解決方法,就是在你的電腦上添加一個靜態ARP條目,這樣你的電腦就不會從受到這種ARP攻擊了。
例如,在Windows中,添加靜態ARP條目。
操作步驟
1、打開"開始-運行"輸入cmd 又或者 按WIN+R鍵 輸入cmd
2、輸入 netsh i i show in找到正在使用的網卡idx號
3、然後再輸入netsh -c i i add neighbors 11 192.168.1.1 5F:8B:B9:86:29:22 就可以進行綁定了,這裡11是idx號。
香港九龍灣馬來街興發大廈15樓D室