三、 窃听通信隐私----“中间人”攻击
现象:某台PC上网突然掉线,一会又恢复了,但恢复后一直上网很慢。查看该PC机的ARP表,网关MAC地址已被修改,而且网关上该PC机的MAC也是伪造的。该PC机和网关之间的所有流量都中转到另外一台机子上了。同样,也会表现为局域网内PC机之间共享文件等正常通信非常慢。
原因: ARP “中间人”攻击,又称为ARP双向欺骗。如图1-4所示,如果有恶意攻击者(Host B)想探听Host A和Host C之间的通信,它可以分别给这两台主机发送伪造的ARP应答报文,使Host A和Host C用MAC_B更新自身ARP映射表中与对方IP地址相应的表项。此后,Host A 和Host C之间看似“直接”的通信,实际上都是通过黑客所在的主机间接进行的,即Host B担当了“中间人”的角色,可以对信息进行了窃取和篡改。
ARP“中间人”攻击示意图
通俗地理解:王五想偷听张三和李四间的悄悄话,于是修改了张三和李四电话簿中的号码,他们之间的通话都先中转到王五这里了。
