icmp介绍以及arp攻击

ICMP介绍及ARP攻击

ICMP（Internet Control Message Protocol）是一种网络层次的协议，其用途在于提供错误诊断服务和回馈控制信息提示。ICMP通常被用于网络测试和网络故障诊断。ICMP是由ISO（国际标准化组织）在ISO 6600规范内定义的。

ICMP协议并不是应用层协议，而是网络层协议，因此被定义为IP数据报的一部分。ICMP提供了一种错误报告的机制和对Datagram进行差错处理，因此使得IP报文能提供可靠的服务。

ICMP协议常用的操作代码

1. Echo Request （PING请求）

2. Echo Reply （PING应答）

3. Destination Unreachable （目标无法到达）

4. Redirect （路由重定向）

5. Time Exceeded （超时）

6. Parameter Problem （选项错误）

7. Timestamp Request （时间戳请求）

8. Timestamp Reply （时间戳应答）

9. Information Request （信息请求）

10. Information Reply （信息应答）

ARP攻击（Address Resolution Protocol Spoofing Attack）是一种获取局域网中发送包含地址信息的数据报文的攻击方式。ARP存在着类似IP配置的穿透顺序，由于不需要任何的认证、加密等安全措施，因此容易受到攻击者的攻击。具有发动简单、效果显著等特点。ARP攻击是利用ARP协议的漏洞，给网关或者和服务器发送虚假的数据包，使得系统误认为攻击者的MAC地址是网关或者服务器的MAC地址，然后就会把所有的流量全部发送到攻击者的机器上。之后攻击者可以通过网络分析工具，如WireShark来进行监控和分析来窃取一些敏感数据信息或者伪造数据。

ARP攻击案例

1.arp -a 查看当前主机的ARP信息

2.工具qcollector

3.arping进行ping连通性测试

下面，我们来看一个具体的ARP攻击案例：

一台主机的IP地址为192.168.1.2，MAC地址为00-11-22-33-44-55，该主机在网络上可以正常通信。现在，一位攻击者欲通过ARP欺骗来窃取该机器敏感信息。

攻击步骤：

1. 攻击者的IP地址为192.168.1.1，MAC地址为11-22-33-44-55-66，攻击者首先在局域网发送一个ARP广播包，伪造源IP地址为192.168.1.2，源MAC地址为11-22-33-44-55-66，目的MAC地址为FF-FF-FF-FF-FF-FF。此时，局域网内的所有主机都会收到这个ARP广播包，其中就包括了192.168.1.2这台主机。

2. 由于ARP广播包中的源IP地址和源MAC地址都是虚假的，因此192.168.1.2的ARP缓存表中就会出现一个虚假的ARP表项，即192.168.1.1的MAC地址为11-22-33-44-55-66。

3. 攻击者接下来就可以向192.168.1.2发送虚假的数据包，因为192.168.1.2已经将11-22-33-44-55-66认为是自己的MAC地址，所以所有的数据包都会被错误地发送到攻击者的机器上。

4. 至此，攻击者就可以监控和分析网络中的所有数据包，这包括了该主机的敏感信息等。

如何防范ARP攻击：

1. 使用静态ARP表，将本机的MAC地址和本机IP地址进行绑定，并将ARP表指定到静态。

2. 地址冲突检测：为避免地址冲突，可在新主机上ping一下原主机。若原主机没有响应，则该地址可以使用；否则，说明已经被占用。

3. ARPSecure:出现与学习到的ARP表中不匹配的任何ARP消息，都会被视为ARP欺骗，并将其从系统日志中记录下来

4. 打开路由器的静态ARP功能，如果你的路由器有MAC地址绑定的功能那就更好了，可以把那些一段时间内不再网内活动的IP地址给封掉。

总结：

ICMP协议是网络层所使用的一个协议，用于网络故障的诊断和调试。

ARP攻击虽然攻击方式非常简单，但是安全隐患是极大的， 网络管理员必须时刻保持警惕，在对重要信息处理时采取更加安全可靠的方法，配合内部安全控制系统，及时检测发现攻击者，避免发生互联网安全事故。 如果你喜欢我们三七知识分享网站的文章， 欢迎您分享或收藏知识分享网站文章 欢迎您到我们的网站逛逛喔！https://www.37seo.cn/