ARP欺骗攻击技术及防护Word下载.docx
- 文档编号:20012710
- 上传时间:2023-01-15
- 格式:DOCX
- 页数:7
- 大小:21.93KB
ARP欺骗攻击技术及防护Word下载.docx
《ARP欺骗攻击技术及防护Word下载.docx》由会员分享,可在线阅读,更多相关《ARP欺骗攻击技术及防护Word下载.docx(7页珍藏版)》请在冰豆网上搜索。
假如主机A需要和主机D进行通信,它首先会发现这个主机D的IP地址并不是自己同一个网段内的,因此需要通过网关来转发,这样的话它会检查自己的ARP缓存表里是否有网关192.168.1.1对应的MAC地址,如果没有就通过ARP请求获得,如果有就直接与网关通信,然后再由网关C通过路由将数据包送到网关E,网关E收到这个数据包后发现是送给主机D(10.1.1.2)的,它就会检查自己的ARP缓存,看看里面是否有10.1.1.2对应的MAC地址,如果没有就使用ARP协议获得,如果有就是用该MAC地址与主机D通信。
通过上面的例子我们知道,在以太局域网内数据包传输依靠的是MAC地址,IP地址与MAC对应的关系依靠ARP表,每台主机(包括网关)都有一个ARP缓存表。
在正常情况下这个缓存表能够有效保证数据传输的一对一性,像主机B之类的是无法截获A与D之间的通信信息的。
但是主机在实现ARP缓存表的机制中存在一个不完善的地方,当主机收到一个ARP的应答包后,它并不会去验证自己是否发送过这个ARP请求,而是直接将应答包里的MAC地址与IP对应的关系替换掉原有的ARP缓存表里的相应信息。
这就导致主机B截取主机A与主机D之间的数据通信成为可能。
首先主机B向主机A发送一个ARP应答包说192.168.1.1的MAC地址是02-02-02-02-02-02,主机A收到这个包后并没有去验证包的真实性而是直接将自己ARP列表中的192.168.1.1的MAC地址替换成02-02-02-02-02-02,同时主机B向网关C发送一个ARP响应包说192.168.1.2的MAC是02-02-02-02-02-02,同样,网关C也没有去验证这个包的真实性就把自己ARP表中的192.168.1.2的MAC地址替换成02-02-02-02-02-02。
当主机A想要与主机D通信时,它直接把应该发送给网关192.168.1.1的数据包发送到02-02-02-02-02-02这个MAC地址,也就是发给了主机B,主机B在收到这个包后经过修改再转发给真正的网关C,当从主机D返回的数据包到达网关C后,网关也使用自己ARP表中的MAC,将发往192.168.1.2这个IP地址的数据发往02-02-02-02-02-02这个MAC地址也就是主机B,主机B在收到这个包后再转发给主机A完成一次完整的数据通信,这样就成功地实现了一次ARP欺骗攻击。
因此简单点说,ARP欺骗的目的就是为了实现全交换环境下的数据监听。
大部分的木马或病毒使用ARP欺骗攻击也是为了达到这个目的。
如何发现及清除
局域网内一旦有ARP的攻击存在,会欺骗局域网内所有主机和网关,让所有上网的流量必须经过ARP攻击者控制的主机。
其他用户原来直接通过网关上网,现在却转由通过被控主机转发上网。
由于被控主机性能和程序性能的影响,这种转发并不会非常流畅,因此就会导致用户上网的速度变慢甚至频繁断线。
另外ARP欺骗需要不停地发送ARP应答包,会造成网络拥塞。
一旦怀疑有ARP攻击我们就可以使用抓包工具来抓包,如果发现网内存在大量ARP应答包,并且将所有的IP地址都指向同一个MAC地址,那么就说明存在ARP欺骗攻击,并且这个MAC地址就是用来进行ARP欺骗攻击的主机MAC地址,我们可以查出它对应的真实IP地址,从而采取相应的控制措施。
另外,我们也可以到路由器或者网关交换机上查看IP地址与MAC地址的对应表,如果发现某一个MAC对应了大量的IP地址,那么也说明存在ARP欺骗攻击,同时通过这个MAC地址查出用来ARP欺骗攻击的主机在交换机上所对应的物理端口,从而进行控制。
如何防范?
我们可以采取以下措施防范ARP欺骗。
(1)在客户端使用arp命令绑定网关的真实MAC地址命令如下:
arp
(先清除错误的ARP表)
arp192.168.1.103-03-03-03-03-03(静态指定网关的MAC地址)
(2)在交换机上做端口与MAC地址的静态绑定。
(3)在路由器上做IP地址与MAC地址的静态绑定。
(4)使用“ARPSERVER”按一定的时间间隔广播网段内所有主机的正确IP-MAC映射表。
(5)最主要是要提高用户的安全意识,养成良好的安全习惯,包括:
及时安装系统补丁程序;
为系统设置强壮的密码;
安装防火墙;
安装有效的杀毒软件并及时升级病毒库;
不主动进行网络攻击,不随便运行不受信任的软件。
ARP攻击原理与解决方法《二》
【故障现象】
当局域网内某台主机运行ARP欺骗的木马程序时,会欺骗局域网内所有主机和路由器,让所有上网的流量必须经过病毒主机。
其他用户原来直接通过路由器上网现在转由通过病毒主机上网,切换的时候用户会断一次线。
切换到病毒主机上网后,如果用户已经登陆了服务器,那么病毒主机就会经常伪造断线的假像,那么用户就得重新登录服务器,这样病毒主机就可以盗号了。
由于ARP欺骗的木马程序发作的时候会发出大量的数据包导致局域网通讯拥塞以及其自身处理能力的限制,用户会感觉上网速度越来越慢。
当ARP欺骗的木马程序停止运行时,用户会恢复从路由器上网,切换过程中用户会再断一次线。
ARP木马病毒解决方法:
《一》:
临时应急型,可暂时解决不能上网的问题,而不是彻底清除病毒:
只需使用Windows系统自带的arp命令即可完成。
方法如下:
点击开始,运行,输入“arp-s网关地址网关MAC地址”,这样即可使网关地址与真正的网关MAC地址绑定,使得局域网内病毒主机无法再进行干扰!
但问题是此方法在计算机重启后自动失效,想再次使用必须重复上述操作。
《arp-a命令来查看mac地址表,此时出现的mac地址并不一定是网关的mac地址,随着arp的不断变种,出现的mac地址表很有可能是内网中其他计算机的mac地址。
(想查看局域网电脑的其他电脑的mac地址,可以先ping它的ip地址,然后用arp-a、或者使用第三方ip-mac地址扫描工具)
arp-d
清空ARP缓存
arp-s
绑定网关,格式为
arp-sipmac
:
ARP-S网关IP网关MAC》
要想手工绑定,可在MS-DOS窗口下运行以下命令:
arp-s网关IP网关MAC
例如:
假设计算机所处网段的网关为192.168.1.1,本机地址为192.168.1.5,在计算机上运行arp-a后输出如下:
CocumentsandSettings>
arp-a
Interface:
192.168.1.5---0x2
InternetAddressPhysicalAddressType
192.168.1.100-01-02-03-04-05dynamic
其中,00-01-02-03-04-05就是网关192.168.1.1对应的MAC地址,类型是动态(dynamic)的,因此是可被改变的。
(arp-a
查看网关的IP对应的正确MAC地址,并将其记录下来,类型是动态(dynamic))
被攻击后,再用该命令查看,就会发现该MAC已经被替换成攻击机器的MAC。
如果希望能找出攻击机器,彻底根除攻击,可以在此时将该MAC记录下来,为以后查找该攻击的机器做准备。
手工绑定的命令为:
arp-s192.168.1.100-01-02-03-04-05
绑定完,可再用arp-a查看arp缓存:
192.168.1.5---0x2
192.168.1.100-01-02-03-04-05static
这时,类型变为静态(static),就不会再受攻击影响了。
但是,需要说明的是,手工绑定在计算机关机重启后就会失效,需要再次重新绑定。
所以,要彻底根除攻击,只有找出网段内被病毒感染的计算机,把病毒杀掉,才算是真正解决问题。
作批处理文件
在客户端做对网关的arp绑定,具体操作步骤如下:
步骤一:
查找本网段的网关地址,比如192.168.1.1,以下以此网关为例。
在正常上网时,“开始→运行→cmd→确定”,输入:
arp-a,点回车,查看网关对应的PhysicalAddress。
比如:
网关192.168.1.1对应00-01-02-03-04-05。
步骤二:
编写一个批处理文件rarp.bat,内容如下:
@echooff
arp-d
arp-s192.168.1.100-01-02-03-04-05
保存为:
rarp.bat。
步骤三:
运行批处理文件将这个批处理文件拖到“Windows→开始→程序→启动”中,如果需要立即生效,请运行此文件。
注意:
以上配置需要在网络正常时进行)
《二》:
二是彻底清除型,此方法必须将网内受感染的病毒主机找出,若局域网只连几台电脑,则查找难度则很低,只要将病毒主机查出并杀毒即可解决问题。
但局域网若是带了几十甚至几百台电脑主机时,查找的难度则会增加很多……问题既然找出,下一步就要搜查病毒主机了。
但使用arp-a命令时发现总有一个IP地址会出现(此IP既不是我电脑的,也不是网关的),我由此怀疑这个IP地址就是一切故障的始作蛹者,于是我坚决地在集线器(或者交换机)上找到了这个IP对应的网线并将之拨掉,果然在没有这台病毒主机干扰后,网络终于恢复了正常。
【HiPER用户快速发现ARP欺骗木马】在路由器的“系统历史记录”中看到大量如下的信息(440以后的路由器软件版本中才有此提示):
MACChged10.128.103.124
MACOld00:
01:
6c:
36:
d1:
7f
MACNew00:
05:
5d:
60:
c7:
18
这个消息代表了用户的MAC地址发生了变化,在ARP欺骗木马开始运行的时候,局域网所有主机的MAC地址更新为病毒主机的MAC地址(即所有信息的MACNew地址都一致为病毒主机的MAC地址),同时在路由器的“用户统计”中看到所有用户的MAC地址信息都一样。
如果是在路由器的“系统历史记录”中看到大量MACOld地址都一致,则说明局域网内曾经出现过ARP欺骗(ARP欺骗的木马程序停止运行时,主机在路由器上恢复其真实的MAC地址)。
【在局域网内查找病毒主机】
在上面我们已经知道了使用ARP欺骗木马的主机的MAC地址,那么我们就可以使用NBTSCAN工具来快速查找它。
NBTSCAN可以取到PC的真实IP地址和MAC地址,如果有”ARP攻击”在做怪,可以找到装有ARP攻击的PC的IP/和MAC地址。
命令:
“nbtscan-r192.168.16.0/24”(搜索整个192.168.16.0/24网段,即192.168.16.1-192.168.16.254);
或“nbtscan192.168.16.25-137”搜索192.168.16.25-137网段,即192.168.16.25-192.168.16.137。
输出结果第一列是IP地址,最后一列是MAC地址。
NBTSCAN的使用范例:
假设查找一台MAC地址为“000d870d585f”的病毒主机。
1)将压缩包中的nbtscan.exe和cygwin1.dll解压缩放到c:
下。
2)在Windows开始—运行—打开,输入cmd(windows98输入“command”),在出现的DOS窗口中输入:
C:
btscan-r192.168.16.1/24(这里需要根据用户实际网段输入),回车。
3)通过查询IP--MAC对应表,查出“000d870d585f”的病毒主机的IP地址为“192.168.16.223”。
【解决思路】
1、不要把你的网络安全信任关系建立在IP基础上或MAC基础上,(rarp同样存在欺骗的问题),理想的关系应该建立在IP+MAC基础上。
2、设置静态的MAC-->
IP对应表,不要让主机刷新你设定好的转换表。
3、除非很有必要,否则停止使用ARP,将ARP做为永久条目保存在对应表中。
4、使用ARP服务器。
通过该服务器查找自己的ARP转换表来响应其他机器的ARP广播。
确保这台ARP服务器不被黑。
5、使用"
proxy"
代理IP的传输。
6、使用硬件屏蔽主机。
设置好你的路由,确保IP地址能到达合法的路径。
(静态配置路由ARP条目),注意,使用交换集线器和网桥无法阻止ARP欺骗。
7、管理员定期用响应的IP包中获得一个rarp请求,然后检查ARP响应的真实性。
8、管理员定期轮询,检查主机上的ARP缓存。
9、使用防火墙连续监控网络。
注意有使用SNMP的情况下,ARP的欺骗有可能导致陷阱包丢失。
【HiPER用户的解决方案】:
建议用户采用双向绑定的方法解决并且防止ARP欺骗。
1、在PC上绑定路由器的IP和MAC地址:
1)首先,获得路由器的内网的MAC地址(例如HiPER网关地址192.168.16.254的MAC地址为0022aa0022aa)。
2)编写一个批处理文件rarp.bat内容如下:
@echooff
arp-d
arp-s192.168.16.25400-22-aa-00-22-aa
将文件中的网关IP地址和MAC地址更改为您自己的网关IP地址和MAC地址即可。
将这个批处理软件拖到“windows--开始--程序--启动”中。
3)如果是网吧,可以利用收费软件服务端程序(pubwin或者万象都可以)发送批处理文件rarp.bat到所有客户机的启动目录。
Windows2000的默认启动目录为“C:
\DocumentsandSettingsAllUsers「开始」菜单程序启动”。
2、在路由器上绑定用户主机的IP和MAC地址(440以后的路由器软件版本支持):
在HiPER管理界面--高级配置--用户管理中将局域网每台主机均作绑定。
【相关软件】:
《1》:
冰盾ARP防火墙
《2》:
金山ARP防火墙
《3》:
趋势科技SysClean工具
(sysclean软件下载地址为:
最新的病毒特征库"
lpt$vpn.XXX"
可以从此地址下载:
间谍软件特征库文件ssapiptn.dat5地址:
下载ssapiptnXXX.zip文件解压后即为ssapiptn.dat5:
将下载的文件解压缩到sysclean同一文件夹下,其中XXX为版本号。
下载以上特征库后运行sysclean就可以了,如果不需要图形界面,可以运行sysclean/nogui/y。
运行时最好关闭所有正在运行的窗口和程序,其中要注意防毒软件的实时防毒也需关闭。
如果无法清除病毒,可以在安全模式下运行此工具试试。
该工具会在自己的目录下产生日志(log)文sysclean.log,记录查杀过程。
可以使用记事本打开查看。
)
《4》:
Antiarp
AntiArpSniffer的用法
下载地址:
- 配套讲稿:
如PPT文件的首页显示word图标,表示该PPT已包含配套word讲稿。双击word图标可打开word文档。
- 特殊限制:
部分文档作品中含有的国旗、国徽等图片,仅作为作品整体效果示例展示,禁止商用。设计者仅对作品中独创性部分享有著作权。
- 关 键 词:
- ARP 欺骗 攻击 技术 防护
![提示](https://static.bdocx.com/images/bang_tan.gif)