在本地主机与其他主机通信过程中,是依靠网卡实现数据包的收发的。网卡是硬件,系统通过网卡驱动程序对网卡进行控制。网卡分为两部分功能,一是控制部分,实现对包的接收、发送和过滤;另一部分是存储空间,用来暂时缓存收到的或需要发送的包,以调节主机处理速率和网络通信能力。不论是windows系统还是ubuntu系统,都必须有网卡和相应的网卡驱动程序,才能实现与其他主机通信。
网卡一般有三种分类:
- 无线网卡——通过线缆与其他主机相连
- 有线网卡——在WIFI环境下通信
- 3G网卡——依靠电信信号通信
网卡的工作模式一般分为四种
1) 广播模式(Broad Cast Model):它的物理地址(MAC)地址是 0Xffffff 的帧为广播帧,工作在广播模式的网卡接收广播帧。
2)多播传送(MultiCast Model):多播传送地址作为目的物理地址的帧可以被组内的其它主机同时接收,而组外主机却接收不到。但是,如果将网卡设置为多播传送模式,它可以接收所有的多播传送帧,而不论它是不是组内成员。
3)直接模式(Direct Model):工作在直接模式下的网卡只接收目地址是自己 Mac地址的帧。
4)混杂模式(Promiscuous Model):工作在混杂模式下的网卡接收所有的流过网卡的帧,信包捕获程序就是在这种模式下运行的。
对于普通用户而言,是直接面向应用程序的,使用浏览器、QQ等界面即可。详细的实现过程模糊为系统实现即可。
对于开发一般的应用程序(java)的程序员而言,使用套接字在网络层及以上层面即可。详细的实现过程交给Java类库即可。
如果想对数据链路层层面进行参数设置和操作,作为可行方案之一是依托winpcap和jpcap实现。
ARP欺骗——简单的来说,就是伪造arp数据包,达到修改其他主机的本地arp缓存表的作用。
修改arp缓存的目的可以分为两个:一是实现切断目标主机的网络连接,二是拿到通信双方的通信数据。
以arp欺骗拿到局域网内某主机与网关的通信数据包为目的
- 攻击者拿到锁定的主机的mac地址和ip地址。暂时没有想到办法拿到固定人员的主机mac地址。通过arp侦听可以拿到网上正在连接的主机列表。
- 通过本地主机与默认网关的通信拿到默认网关的mac地址和ip地址。
在校局域网下,一个账号只能一个设备使用,但是存在切换使用设备的情况,也就是说在管理员角度,arp地址的修改是允许的。
存在的问题:在切入局域网时,不管登录与否,都会针对mac地址分配ip地址,当进行arp欺骗后,两个ip地址对应一个mac地址,那么很可能会发现问题。
解决办法:每次修改本地mac地址,且短时间欺骗即可。
针对办法:每次需要修改ip-mac地址关系时,向原mac地址和修改后的mac地址都发送一次arp请求报文或则检索一次本地arp存储看是否有与修改后的mac相同的地址。
如果有足够的计算资源和存储空间,针对arp攻击并不困难。
arp攻击的局限性
只能在局域网中实现
arp欺骗的正当用途
- 在一个需要的登陆的网站中,让未登录的计算机将其浏览网页强制转向到登录页面,以便达到登录后才可使用网络的功能。比如本校的网络登录管理。
- 有些设备或服务器出现问题时,利用ARP欺骗将访问账户转向备用设备。
防arp攻击方案
1.拿到本地arp缓存表——从 /proc/net/arp 读取即可
2.每隔5分钟,备份一次,进行检查,如果一个mac地址对应两个ip地址,则可能出现问题了。