何謂ARP攻擊〈ARP Poisoning、ARP Spoofing〉
發佈: 2009-5-19 14:29 | 作者: jack | 來源: 和建資訊全球服務網
發送一個假的ARP封包竄改ARP Cache使得資料無法正確傳輸到目的地,造成網路無法連結,便稱作ARP攻擊。由於一般的ARP Cache是根據經過的ARP封包不斷的變更本身的ARP列表,假設接收到的ARP封包所提供的資料是偽造的,就會讓資料無法傳輸到實際的目的地。甚至可能因為資料導向某特定電腦,駭客可利用病毒竊取封包資料或修改封包內容。
假設Host B中了ARP病毒,它發送一個假的ARP封包給Switch,告訴Swich說192.168.1.1對應的Mac位址是Host B的Mac Address,原本192.168.1.1對應的Mac Address是Router,這時候就會被修改成錯誤的Mac位址。
當Host A要發送HTTP request到192.168.1.1時,經過Swich的時候查看ARP Cache發現192.168.1.1對應到的是Host B的Mac Address,此時資料就會傳送給Host B,而不會傳送到Router,所以Host A就可能無法連上網路。
中ARP病毒的特徵:
打開網頁時首頁自動連接 hxxp://www.161816.com/www.htm 或 hxxp://www.112161.com/www.htm 網頁,然後IE就像死當了一樣,而且一會兒就彈出「虛擬記憶體太低」的訊息,導致系統過慢最後當機。
如何找出感染ARP病毒的電腦
使用arp -a的指令
上圖的ARP Cache有三個IP均指向同一個Mac Address,表示這個Mac Address實際對應的電腦可能感染了ARP病毒。
以上由網網國際的帥哥昌提供
假設Host B中了ARP病毒,它發送一個假的ARP封包給Switch,告訴Swich說192.168.1.1對應的Mac位址是Host B的Mac Address,原本192.168.1.1對應的Mac Address是Router,這時候就會被修改成錯誤的Mac位址。
當Host A要發送HTTP request到192.168.1.1時,經過Swich的時候查看ARP Cache發現192.168.1.1對應到的是Host B的Mac Address,此時資料就會傳送給Host B,而不會傳送到Router,所以Host A就可能無法連上網路。
中ARP病毒的特徵:
打開網頁時首頁自動連接 hxxp://www.161816.com/www.htm 或 hxxp://www.112161.com/www.htm 網頁,然後IE就像死當了一樣,而且一會兒就彈出「虛擬記憶體太低」的訊息,導致系統過慢最後當機。
如何找出感染ARP病毒的電腦
使用arp -a的指令
上圖的ARP Cache有三個IP均指向同一個Mac Address,表示這個Mac Address實際對應的電腦可能感染了ARP病毒。
以上由網網國際的帥哥昌提供