攻击与威胁
ARP 欺骗
别称: ARP 投毒, ARP 缓存投毒
定义
在本地网络中发送伪造 ARP 消息,将攻击者的 MAC 地址与他人 IP 绑定,从而将流量导向攻击者的攻击。
ARP 欺骗(亦称 ARP 投毒)利用 IPv4 局域网中地址解析协议缺乏认证的弱点。攻击者广播无偿 ARP 响应,声称自己拥有某个目标 IP(通常是默认网关),受害主机随之更新其 ARP 表。此后所有发往该 IP 的流量都经过攻击者,可被用于嗅探、会话劫持、SSL 剥离或选择性拒绝服务。常见防御措施包括在交换机上启用动态 ARP 检测、DHCP Snooping、对关键主机配置静态 ARP、端口安全以及端到端加密。
示例
- 企业 Wi-Fi 中的攻击者欺骗笔记本,将流量经其设备转发以窃取凭据。
- 使用 Ettercap 或 arpspoof 对未加密协议实施中间人攻击。
相关术语
中间人攻击 (MitM)
攻击者在通信双方之间秘密转发或篡改消息,而双方均以为是在直接对话的一种攻击。
MAC 欺骗
将网卡的硬件 MAC 地址改写为攻击者选择的值,用以冒充其他设备、绕过 MAC 访问控制或规避追踪。
会话劫持
通过窃取或伪造会话标识符,接管受害者已认证的会话,使攻击者无需密码即可冒充其身份的攻击。
SSL 剥离
一种中间人攻击,悄悄将受害者的 HTTPS 连接降级为明文 HTTP,使攻击者能够读取并篡改流量。
Network Segmentation
Network Segmentation — definition coming soon.
DNS 欺骗
通过注入伪造的 DNS 响应,将受害者从合法域名重定向到攻击者控制的 IP 地址的攻击。