第9章 局域网攻防

局域网是指在某一区域内由多台计算机互联成的计算机组,它可以实现文件管理和共享等功能,一些攻击者常常会采用各种不同的手段来攻击局域网,可能是炫耀技术,也可能是盗取信息,无论出于什么目的,用户都要阻止他们的攻击,确保网络安全。

本章知识点:

局域网攻击常见方式

攻击局域网

抵制局域网攻击

9.1 局域网攻击常见方式

局域网攻击是指攻击者采用各种不同的手段攻击局域网内的计算机或其他网络设备,常见的局域网攻击方式有ARP欺骗攻击、广播风暴、DNS欺骗攻击以及DDoS攻击,这些攻击都会造成局域网内的网络设备无法正常工作,因此用户有必要了解这些常见的局域网攻击方式。

001Q 什么是ARP欺骗?

A ARP欺骗是指在局域网中伪造不存在的MAC地址,达到截获数据包的目的,它将导致局域网出现网络不通的现象。

由于局域网的网络流通是按照MAC地址进行传输。所以,当局域网中有伪造的MAC地址时,则该MAC地址就变成一个不存在的MAC地址,这样就会造成网络不通,导致其他计算机不能与该MAC地址Ping通!这就是一个简单的ARP欺骗。

ARP的工作原理为:当主机A向主机B发送报文时,主机A会查询本地的ARP缓存表,找到主机B的IP地址对应的MAC地址后进行数据传输;如果未找到,则广播A的一个ARP请求报文(携带主机A的IP地址Ia——物理地址Pa),请求IP地址为Ib的主机B回答物理地址Pb,网上所有主机(包括主机B)都收到ARP请求,但只有主机B识别自己的IP地址,于是向主机A发回一个ARP响应报文。其中包含有主机B的MAC地址,主机A接收到主机B的应答后更新本地的ARP缓存表。然后使用这个MAC地址向主机B发送数据,其流程图如下。

ARP协议并不只在发送了ARP请求才接收ARP应答。当计算机接收到ARP应答数据包时,就会对本地的ARP缓存进行更新,将应答中的IP和MAC地址存储在ARP缓存中。因此,当局域网中的某台机器C向A发送一个自己伪造的ARP应答,而如果这个应答是C冒充B伪造来的,即IP地址为B的IP,而MAC地址是伪造的,则当A接收到C伪造的ARP应答后,就会更新本地的ARP缓存,这样在A看来B的IP地址没有变,而它的MAC地址已经不是原来那个了。由于局域网的网络流通不是根据IP地址进行,而是按照MAC地址进行传输。所以,那个伪造出来的MAC地址在A上被改变成一个不存在的MAC地址,这样就会造成网络不通,导致A不能Ping通B!这就是一个简单的ARP欺骗,其流程图如下所示。

ARP欺骗是黑客常用的攻击手段之一,常见的ARP欺骗分为两种,一种是对路由器ARP表的欺骗;另一种是对内网PC的网关欺骗。第一种ARP欺骗的原理是——截获网关数据。它通知路由器一系列错误的内网MAC地址,并按照一定的频率不断进行,使真实的地址信息无法通过更新保存在路由器中,结果路由器的所有数据只能发送给错误的MAC地址,造成正常主机无法收到信息。第二种ARP欺骗的原理是——伪造网关。它的原理是建立假网关,让被它欺骗的主机向假网关发送数据,而不是通过正常的路由器途径上网。从而使局域网中的主机无法上网。