假設(shè)局域網(wǎng)中有A、B、C三臺(tái)計(jì)算機(jī)，A的IP地址是：192.168.1.100，MAC地址是：1A-2A-3A-4A-5A-6A；B的IP地址是：192.168.1.200，MAC地址是：1B-2B-3B-4B-5B-6B；C的IP地址是：192.168.1.250，MAC地址是：1C-2C-3C-4C-5C-6C.

現(xiàn)在A要和B通信，A首先會(huì)發(fā)出一個(gè)ARP廣播數(shù)據(jù)抱(即向192.168.1.0-192.168.1.255這個(gè)范圍內(nèi)的所有設(shè)備發(fā)送數(shù)據(jù)包)，獲取B的MAC地址。數(shù)據(jù)包中會(huì)包含源IP(A的IP)、源MAC(A的MAC)、和目標(biāo)IP(B的IP)；B接收到A發(fā)出的ARP廣播后，發(fā)現(xiàn)目標(biāo)IP地址就是與自己的IP地址相同，然后會(huì)給A回復(fù)一個(gè)ARP單播數(shù)據(jù)包，把自己的MAC地址信息添加在里面。

A收到B的恢復(fù)后，得知B的MAC地址，然后就可以直接向B傳輸數(shù)據(jù)了，同時(shí)電腦A會(huì)建立一個(gè)ARP映射表，把192.168.1.200與1B-2B-3B-4B-5B-6B物理地址對(duì)應(yīng)起來。B在收到A的廣播包后，也會(huì)建立一張ARP映射表，把A的IP：192.168.1.100和MAC：1A-2A-3A-4A-5A-6A對(duì)應(yīng)起來。之后如果A還需要和B進(jìn)行通信，會(huì)先查自己的ARP表，獲取B的MAC地址。

假設(shè)計(jì)算機(jī)C是ARP攻擊源，當(dāng)A和B通信時(shí)，A發(fā)出一個(gè)ARP廣播數(shù)據(jù)包，尋找IP地址是192.168.1.200的目標(biāo)設(shè)備的MAC地址，C接收到A的數(shù)據(jù)包后，C會(huì)給恢復(fù)一個(gè)偽造的ARP數(shù)據(jù)包，告訴A IP地址是192.168.1.200的目標(biāo)設(shè)備的MAC地址是1C-2C-3C-4C-5C-6C，或者偽造一個(gè)不存在的MAC地址，如1D-2D-3D-4D-5D-6D。A收到C偽造的ARP恢復(fù)數(shù)據(jù)包后，獲得一個(gè)假的MAC地址，然后A就開始往這個(gè)假的MAC地址發(fā)送數(shù)據(jù)，使得A無法真正的與B進(jìn)行通信。

出現(xiàn)掉網(wǎng)的現(xiàn)象是局域網(wǎng)中的某一臺(tái)設(shè)備在進(jìn)行ARP欺騙，而且還是欺騙的網(wǎng)關(guān)的MAC地址。如局域網(wǎng)的計(jì)算機(jī)A要上網(wǎng)，會(huì)先把數(shù)據(jù)包發(fā)送給網(wǎng)關(guān)，因此需要先知道網(wǎng)關(guān)的MAC地址。所以會(huì)先發(fā)送一個(gè)ARP廣播好詢問網(wǎng)關(guān)的MAC地址，中了ARP病毒的計(jì)算機(jī)會(huì)給A返回一個(gè)價(jià)格網(wǎng)關(guān)MAC地址，使得A的上網(wǎng)數(shù)據(jù)包根本無法傳輸給網(wǎng)關(guān)，自然就不能夠上網(wǎng)了，出現(xiàn)掉網(wǎng)的現(xiàn)象。

最新評(píng)論