关于网络MAC与ARP攻击

1、关于网络mac与arp攻击到目前为止，网络上流行的“网络控制”工具（或说病毒）是五花八门，包括 许多用户自己喜欢用的局域网控制软件。但是这些程序在各方面的运行过程中，容 易对网络产生攻击与影响，下面从主要原理上描述与分析下网络mac与arp攻 击问题。案例：问题：我的戴尔630笔记本问题！我家的网卡是最新的驱动，然后病毒也是用卡巴斯基杀的,而且木人也比较重视 病毒，应该干净，然后我已经把网卡，硬盘的省电模式关了，可是不知道为什么，偶尔会 断网，一旦断了，电脑没有任何征兆，一切正常，但是网就是没了,可是右下角图标也没 显示断网，如果想断开，重新连接也是不行的，因为根本就断不开（其实早就没网了）。

2、然 后如果我想重启的话，电脑一直在保存设置,就是关不了，会不会是硬件的问题?？解答：被arp攻击了多半是，你们得机子都杀到毒，再用arp专杀都杀一道，然后装个 arp防火墙，把ip绑定了，网卡得属性高级里面有个network address点击下把 右边那个值改成你得mac值就可以了。确定系统没问题就换一个交换机和路由器 的端口试一下。附录:arp 全称：address resolution protocol;即地址解析协议我们知道，当我们在浏览器里面输入网址时，dns服务器会自动把它解析为ip 地址，浏览器实际上查找的是ip地址而不是网址。那么ip地址是如何转换为第二 层物理地址（即mac地

3、址）的呢？在局域网中，这是通过arp协议来完成的。arp 协议对网络安全具有重要的意义。通过伪造ip地址和mac地址实现arp欺骗，能 够在网络中产生大量的arp通信量使网络阻塞。所以网管们应深入理解arp协议。如下是关于mac的介绍与操作方法。操作系统法修改mac地址首先，要求计算机的操作系统是windows 2000或者windows xp«接着，在 其他的计算机上，查出该计算机的mac地址。使用ipconfig /all命令即可看到 physical address行对应的一个类似xx-xx-xx-xx-xx-xx的值，将该值记录下来。接下来，在另外一台您希望修改mac地址的计

4、算机上右键点击“我的电脑” 图标，选择“属性”，在弹出的窗体中选择“硬件”标签页，再选择“设备管理器” 按钮。在弹出的设备管理窗口中选中您的网卡后双击。在弹出的网卡属性窗口中选择 "高级”标签页。在属性列表中选择“network address”，选中右侧的“值”前的单选框。在里面输入您纪录的mac值，注意输入的时候 数值间不用空格，也不用输入号。现在您可以用ipconfig/all看看，这台机器的mac地址，已经改成了您输入的 值了。注册表法修改mac地址windows 9x/me:选择运行，在运行命令行中键入“regedit”，打开注册表编辑器，然后找到 hkey_local_m

5、achine systemcurrentcontrolsetservicesclassesnet 这个冃录。 在这一级冃录下会有()00、001、002等多个子冃录，观察driverdesc中的内容描述, 确定当前选项是所修改的是网卡的描述。然后在其下添一个子键，名字为network address,值设为所需要的mac地址, 再用winipcfg查看，mac地址己经更改了。windows 2k:打开注册表编辑器，找到 hkey_local_machine/system/currentcontrolset/control/class/4d36e972- e325-11ce-bfc1-08002

6、be10318"这个目录，在这个目录下有 0000、0001、0002 等主键，查找driverdesc内容为您要修改的网卡的描述相吻合的主键，在此主键下，添一个字符串，名字为“networkaddress",把它的值设为您要的 mac地址，要连续写如“001010101010”。然后到主键下“ndiparams”中添加一 项"networkaddress"的主键值，在该主键下添加名为“default”的字符串，值写要 设的mac地址，要连续写，如“001010101010”。在“networkaddress”的主键下继续添加名为“paramdesc”的

7、字符串，其作 用为指定“ network address ”主键的描述，其值可为可以随意设置。这样重新启动 一次以后打开网络邻居的属性，双击相应网卡项会发现有一个高级设置，其下存在 mac address的选项，这就是您在第二步里在注册表屮加的新项“networkaddress”, 以后只要在此修改mac地址就可以了。关闭注册表编辑器，重新启动，您的网卡 地址己经改好了。linux f的mac地址更改首先用命令关闭网卡设备：/sbin/ifconfig etho down然后就可以修改 mac 地址 了 ： /sbin/ifconfig etho hw ether xxxxxxxxxxx （其

8、中 xx是您要修改的地址）最后重新启用网卡：/sbin/ifconfig etho up网卡的mac地址更改就完成了。如此修改mac后，即便是重装系统，其值也不会再改变一一你已经把相关参数 写进网卡的存储器中。mac地址mac（media access control）地址，或称为mac位址、硬件位址，用来定义网 络设备的位置。在osi模型屮，第三层网络层负责ip地址，第二层资料链结层则 负责mac位址。因此一个主机会有一个ip地址，而每个网络位置会有一个专属于 它的mac位址。mac （ medium/mediaaccess control,介质访问控制）mac 地址是烧录在 network

9、lnterfacecard（fx）卡,nic）里的.mac地址,也叫硬件地址，是由48比特长（6字 节）,16进制的数字组成.023位叫做组织唯一标志（organizationally unique,是识别 lan （局域网）节点的标识.2447位是由厂家自己分配。其中第40位是组播地址标 志位。网卡的物理地址通常是由网卡生产厂家烧入网卡的eprom （一种闪存芯片， 通常口 j以通过程序擦写），它存储的是传输数据时真正赖以标识发出数据的电脑和接 收数据的主机的地址。也就是说，在网络底层的物理传输过程屮，是通过物理地址來识别主机的，它一般也是全球唯一的。比如，著名的以太网卡，其物理地址 是48

10、bit （比特位）的整数，女山44-45-53-54-00-00,以机器可读的方式存入主机接口 中。以太网地址管理机构（除了管这个外还管别的）（ieee） （ieee：电气和电子工程 师协会）将以太网地址，也就是48比特的不同组合，分为若干独立的连续地址组， 生产以太网网卡的厂家就购买其中一组，具体生产时，逐个将唯一地址赋予以太网 卡。 形象的说，mac地址就如同我们身份证上的身份证号码，具有全球唯一 性。mac地址的作用ip地址就如同一个职位，而mac地址则好像是去应聘这个职位的人才，职位 既可以让甲坐，也可以让乙坐，同样的道理一个节点的ip地址对于网卡是不做要求, 基本上什么样的厂家都可以

11、用,也就是说ip地址与mac地址并不存在着绑定关系。 本身有的计算机流动性就比较强，正如同人才可以给不同的单位干活的道理一样的, 人才的流动性是比较强的。职位和人才的对应关系就有点像是ip地址与mac地址 的对应关系。比如，如果一个网卡坏了，可以被更换，而无须取得一个新的ip地址。 如果一个ip主机从一个网络移到另一个网络，可以给它一个新的ip地址，而无须 换一个新的网卡。当然mac地址除了仅仅只有这个功能还是不够的，就拿人类社 会与网络进行类比，通过类比，我们就可以发现其中的类似之处，更好地理解mac 地址的作用。无论是局域网，还是广域网中的计算机之间的通信，最终都表现为将 数据包从某种形式

12、的链路上的初始节点出发，从一个节点传递到另一个节点，最终 传送到口的节点。数据包在这些节点之间的移动都是由arp（address resolution protocol：地址解析协议）负责将ip地址映射到mac地址上来完成的。其实人类社 会和网络也是类似的，试想在人际关系网络中，甲耍捎个口信给丁，就会通过乙和 丙中转一下，最后由丙转告给丁。在网络中，这个口信就好比是一个网络中的一个 数据包。数据包在传送过程中会不断询问相邻节点的mac地址，这个过程就好比 是人类社会的口信传送过程。相信通过这两个例子，我们就可以进一步理解mac 地址的作用。如何获取本机的mac?win98/me对于数量不多的几

13、台机器，我们可以这样获取mac地址：在windows 98/me 中，依次单击“开始”“运行” f输入“winipcfg” 一回车。即可看到mac地 址。在 windows 2000/xp 中,依次单击“开始”一“运行”一输入“cmd”回车一输入“ipconfig/all”-回车。（或者依次单击“开始”一“所有程序”一“附件”一“命令提示符” 一输 入"ipconfig /all"回车°）即可看到 mac 地址。（physical address） physical address:00-23-5a-15-99-42 另外，还可以通过查看本地连接获取mac地址：依

14、次单击“本地连接”一“支持”一“详细信息”。即可看到mac地 址（实际地址）。linux/unix在命令行输入ipconfig即可看到mac地址。link encap:以太网 硬件地址:00-23-5a-15-99-42修改网卡mac地址的方法其实更改网卡mac地址的功能不论98、2000还是xp,都己经提供了，只是 平时大家都没有注意到而已。下面我就说说怎么更改。很简单哦。win2000修改方法好了，现在先來看看win2000-,在桌面上网上邻居图标上点右键，选”属性”， 在出来的”网络和拨号连接”窗口中一般有两个图标，一个是”新建连接“图标，一个 是”我的连接”图标。如果你的机器上有两个网

15、卡的话，那就有三个图标了。如果你 只有一个网卡，那就在”我的连接”图标上点右键，选”属性”，会出来一个”我的连接属 性”的窗口。在图口上部有一个”连接时使用：”的标识，下面就是你机器上的网卡型 号了。在下面有一个”配置“按钮，点击该按钮后就进入了网卡的属性对话框了，这 个对话框中有五个属性页，点击第二项”高级”页，在”属性”标识下有两项：一个是 ”link speed/d叩lex mode”,这是设置网卡工作速率的，我们需要改的是下面一个 "networkaddress1；击该项，在对话框右边的”值”标识下有两个单选项，默认得是” 不存在”，我们只要选中上面一个单选项，然后在右边的框

16、中输入你想改的网卡 mac地址，点”确定”，等待一会儿，网卡地址就改好了，你甚至不用停用网卡！ 另外，你也可以在”设置管理器“中，打开网卡的属性页来修改，效果一样。winxp 的修改方法跟win2000 一样。98下修改方法在98下面修改和win2000、xp下差不多。在“网上邻居”图标上点右键，选择“ 属性”，出來一个”网络“对话框，在”配置“框中，双击你要修改的网卡，出來一个网 卡属性对话框。在”高级”选项中，也是点击”属性“标识下的”network address”项，在 右边的两个单选项中选择上面一个，再在框中输入你要修改的网卡mac地址，点” 确定”后，系统会提示你重新启动。重新启动

17、后，你的网卡地址就告修改成功！ 如果你想把网卡的mac地址恢复原样，只要再次把"network address"项右边的单选 项选择为下面一个”没有显示“再重新启动即可。在win2000. xp下面是选择”不存 在”，当然也不用重新启动了。mac地址的应用平日身份证的作用并不是很大，但是到了有的关键时刻，身份证就是用來证明 你的身份的。比如你要去银行提取现金，这时就要用到身份证。那么mac地址与 ip地址绑定就如同我们在日常生活屮的木人携带自己的身份证去做重要事情一样的 道理。有的时候，我们为了防止ip地址被盗用，就通过简单的交换机端口绑定(端 口的mac表使用静态表项)，

18、可以在每个交换机端口只连接一台主机的情况下防止 修改mac地址的盗用，如果是三层设备还可以提供：交换机端口/1p/mac三者的 绑定，防止修改mac的ip盗用。一般绑定mac地址都是在交换机和路由器上配 置的，是网管人员才能接触到的，对于一般电脑用户来说只要了解了绑定的作用就 行了。比如你在校园网屮把自己的笔记本电脑换到另外一个宿舍就无法上网了，这 个就是因为mac地址与ip地址(端口)绑定引起的。mac欺骗的攻击方法arp欺骗技术已经很成熟了，这里也不再阐述。此次重点讲解如何不用arp 欺骗进行嗅探以及会话劫持的技术原理，实际的攻击方法是进行mac欺骗。 一、原理：在开始z前我们先简单了解一

19、下交换机转发过程：交换机的一个端口收到一个数据帧时，首先检查该数据帧的目的mac地址在mac地址表(cam) 对应的端口，如果目的端口与源端口不为同一个端口，则把帧从冃的端口转发出去， 同时更新mac地址表中源端口与源mac的对应关系；如果冃的端口与源端口相同， 则丢弃该帧。英文资料in computer networking a media access control address (mac address) or ethernet hardware address (eha) or hardware address or adapter address is a quasi-uniqu

20、e identifier attached to most network adapters (nic or network interface card). it is a number that serves as an identifier for a particular network adapter. thus network cards (or built-in network adapters) in two different computers will have different mac addresses, as would an ethernet adapter a

21、nd a wireless adapter in the same computer, and as would multiple network cards in a route匚 however, it is possible to change the mac address on most of today's hardware, often referred to as mac spoofing.most layer 2 network protocols use one of three numbering spaces managed by the institute o

22、f electrical and electronics engineers (ieee): mac-4& eui-4& and eui-64, which are designed to be globally unique. not all communications protocols use mac addresses, and not all protocols require globally unique identifiers. the ieee claims trademarks on the names ”eui48" and "eui

23、-64" ("eui" stands for extended unique identifier).mac addresses, unlike ip addresses and ipx addresses, are not divided into "host" and "network” portions. therefore, a host cannot determine from the mac address of another host whether that host is on the same layer 2

24、network segment as the sending host or a network segment bridged to that network segment.arp is commonly used to convert from addresses in a layer 3 protocol such as internet protocol (ip) to the layer 2 mac address. on broadcast networks, such as ethernet, the mac address allows each host to be uni

25、quely identified and allows frames to be marked for specific hosts. it thus fonns the basis of most of the layer 2 networking upon which higher osi layer protocols are built to produce complex, functioning networks.contents hide1 notational conventions2 address details2.1 individual address block3 b

26、it-reversed notation4 see also5 references6 external linksnotational conventionsthe standard (ieee 802) format for printing mac-48 addresses in human-readable media is six groups of two hexadecimal digits, separated by hyphens (-) in transmission order, e.g. 01 -23-45-67-89-ab. this form is also com

27、monly used for eui-64. other conventions include six groups of two separated by colons (:), e.g. 01:23:45:67:89:ab; or three groups of four hexadecimal digits separated by dots (), e.g. 0123.4567.89ab; again in transmission order.address detailsthe original ieee 802 mac address comes from the origin

28、al xerox ethernet addressing scheme.fl this 48-bit address space contains potentially 248 or 281,474,976,710,656 possible mac addresses.all three numbering systems use the same format and differ only in the length of the identifier. addresses can either be "universally administered addresses*1

29、or "locally administered addresses/'a universally administered address is uniquely assigned to a device by its manufacturer; these are sometimes called nburned-in addresses11 (bia). the first three octets (in transmission order) identify the organization that issued the identifier and are k

30、nown as the organizationally unique identifier (oui). the following three (mac-48 and eui-48) or five (eui-64) octets are assigned by that organization in nearly any manner they please, subject to the constraint of uniqueness. the ieee expects the mac-48 space to be exhausted no sooner than the year

31、 2100; eul-64s are not expected to run out in the foreseeable future.a locally administered address is assigned to a device by a network administrator, overriding the burned-in address- locally administered addresses do not contain ouis.universally administered and locally administered addresses are

32、 distinguished by setting the second least significant bit of the most significant byte of the address. if the bit is 0, the address is universally administered. if it is 1, the address is locally administered. the bit is 0 in all ouis. for example, 02-00-00-00-00-01. the most significant byte is 02

33、h. the binary is 00000010 and the second least significant bit is 1. therefore, it is a locally administered address. 2if the least significant bit of the most significant byte is set to a 0, the packet is meant to reach only one receiving nic. this is called unicast. if the least significant bit of

34、 the most significant byte is set to a 1, the packet is meant to be sent only once but still reach several nics. this is called multicast.mac-48 and eui-48 addresses are usually shown in hexadecimal format, with each octet separated by a dash or colon. an example of a mac-48 address would be ”000874

35、4c7fld”. if you cross-reference the first three octets with ieee's oui assignments,13j you can see that this mac address came from dell computer corp. the last three octets represent the serial number assigned to the adapter by the manufacturer.the following technologies use the mac-48 identifie

36、r format:ethernet802.11 wireless networksbluetoothieee 802.5 token ringmost other ieee 802 networksfddiatm (switched virtual connections only, as part of an nsap address)fibre channel and serial attached scsi (as part of a world wide name)the distinction between eui-48 and mac-48 identifiers is pure

37、ly semantic: mac-48 is used for network hardware; eui-48 is used to identify other devices and software. (thus, by definition, an eui-48 is not in fact a hmac address11, although it is syntactically indistinguishable from one and assigned from the same numbering space.)the ieee now considers the lab

38、el mac-48 to be an obsolete term which was previously used to refer to a specific type of eui-48 identifier used to address hardware interfaces within existing 802-based networking applications and should not be used in the future. instead, the term eui-48 should be used for this purpose.eui-64 iden

39、tifiers are used in:firewireipv6 (as the low-order 64 bits of a unicast network address when temporary addresses are not being used)zigbee / 802.15.4 wireless personal-area networksthe ieee has built in several special address types to allow more than one network interface card to be addressed at on

40、e time:packets sent to the broadcast address, all one bits, are received by all stations on a local area network. in hexadecimal the broadcast address would be” ff:ff:ff:ff:ff:ff”.packets sent to a multicast address are received by all stations on a lan that have been configured to receive packets s

41、ent to that address.functional addresses identify one of more token ring nics that provide a particular service, defined in ieee 802.5.these are "group addresses11, as opposed to "individual addresses11; the least significant bit of the first octet of a mac address distinguishes individual

42、 addresses from group addresses. that bit is set to 0 in individual addresses and 1 in group addresses. group addresses, like individual addresses, can be universally administered or locally administered.in addition, the eui-64 numbering system encompasses both mac-48 and eu1-48 identifiers by a sim

43、ple translation mechanism to convert a mac-48 into an eui-64, copy the oui, append the two octets "ff-ff； and then copy the organization-specified part. to convert an eui-48 into an eui-64, the same process is used, but the sequence inserted is ”ff-fet in both cases, the process can be triviall

44、y reversed when necessary. organizations issuing eul-64s are cautioned against issuing identifiers that could be confused with these forms. the ieee policy is to discourage new uses of 48-bit identifiers in favor of the eui-64 system.ipv6one of the most prominent standards that uses eui-64一applies t

45、hese rules inconsistently. due to an error in the appendix to the specification of ipv6 addressing, it is standard practice to extend mac-48 addresses (such as ieee 802 mac address) to eui-64 using ”fffe” rather than ”ffff.”individual address blockan individual address block comprises a 24-bit oui m

46、anaged by the ieee registration authority, followed by 12 ieee-provided bits (identifying the organization), and 12 bits for the owner to assign to individual devices. an iab is ideal for organizations requiring fewer than 4097 unique 48-bit numbers (eui-48).4bit-re versed notationthe standard transmission order notation for mac addresses, as seen in t