ARP测试就是通过伪造IP地址和MAC地址实现ARP欺骗,能够在网络中产生大量的ARP通信量使网络阻塞,测试者只要持续不断的发出伪造的ARP响应包就能更改目标主机ARP缓存中的IP-MAC条目,造成网络中断或中间人测试。
特点
由于局域网的网络流通不是根据IP地址进行,而是根据MAC地址进行传输。所以,MAC地址在A上被伪造成一个不存在的MAC地址,这样就会导致网络不通,A不能Ping通C!这就是一个简单的ARP欺骗。
分类
1、ARP泛洪测试
通过向网关发送大量ARP报文,导致网关无法正常响应。首先发送大量的ARP请求报文,然后又发送大量虚假的ARP响应报文,从而造成网关部分的CPU利用率上升难以响应正常服务请求,而且网关还会被错误的ARP表充满导致无法更新维护正常ARP表,消耗网络带宽资源。
2、ARP欺骗主机的测试
ARP欺骗主机的测试也是ARP众多测试类型中很常见的一种。测试者通过ARP欺骗使得局域网内被测试主机发送给网关的流量信息实际上都发送给测试者。主机刷新自己的ARP使得在自己的ARP缓存表中对应的MAC为测试者的MAC,这样一来其他用户要通过网关发送出去的数据流就会发往主机这里,这样就会造成用户的数据外泄。
3、欺骗网关的测试
欺骗网关就是把别的主机发送给网关的数据通过欺骗网关的形式使得这些数据通过网关发送给测试者。这种测试目标选择的不是个人主机而是局域网的网关,这样就会测试者源源不断的获取局域网内其他用户的数据.造成数据的泄露,同时用户电脑中垃圾软件的概率也会提升。
4、IP地址冲突测试
通过对局域网中的物理主机进行扫描,扫描出局域网中的物理主机的MAC地址,然后根据物理主机的MAC进行测试,导致局域网内的主机产生IP地址冲突,影响用户的网络正常使用
报文分析
网关2的mac地址被修改为128的mac地址
发送大量的arp查询包。
由于arp维护表是采取更新策略,已收到最新的mac地址表为准。
防御技巧
1、指定网关mac地址
2、交换机配置策略
3、局域网内使用隔离技术。