ARP攻击与故障排除知识.docx
- 文档编号:30077471
- 上传时间:2023-08-04
- 格式:DOCX
- 页数:76
- 大小:88.71KB
ARP攻击与故障排除知识.docx
《ARP攻击与故障排除知识.docx》由会员分享,可在线阅读,更多相关《ARP攻击与故障排除知识.docx(76页珍藏版)》请在冰豆网上搜索。
ARP攻击与故障排除知识
ARP攻击与故障排除知识
ARP透视——出现ARP欺骗攻击时的现象
1、网上银行、游戏及QQ账号的频繁丢失
一些人为了获取非法利益,利用ARP欺骗程序在网内进行非法活动,此类程序的主要目的在于破解账号登陆时的加密解密算法,通过截取局域网中的数
据包,然后以分析数据通讯协议的方法截获用户的信息。
运行这类木马病毒,就可以获得整个局域网中上网用户账号的详细信息并盗取。
2、网速时快时慢,极其不稳定,但单机进行光纤数据测试时一切正常
当局域内的某台计算机被ARP的欺骗程序非法侵入后,它就会持续地向网内所有的计算机及网络设备发送大量的非法ARP欺骗数据包,阻塞网络通道,
造成网络设备的承载过重,导致网络的通讯质量不稳定。
3、局域网内频繁性区域或整体掉线,重启计算机或网络设备后恢复正常
当带有ARP欺骗程序的计算机在网内进行通讯时,就会导致频繁掉线,出现此类问题后重启计算机或禁用网卡会暂时解决问题,但掉线情况还会发生。
发贴者dengguo时间:
下午6:
390评论
标签:
ARP欺骗,ARP欺骗攻击
ARP透视——传统的几种解决ARP问题的方式
方案一:
过滤局域网的IP,关闭高危险的端口,关闭共享。
升级系统补丁,升级杀毒软件。
安装防火墙,设置防ARP的选项。
微软ISA防火墙功能强大,可是很占系统资源。
配置服务器是Linux的强项,当然能阻止部分ARP危害网络。
但是从根本上并没有解决掉ARP的问题,长时间超负荷运转对硬件的损害也显而易见。
方案二:
发现乱发ARP包的主机后,即通过路由器、硬件防火墙等设备在网关上阻止与其它主机通信。
迅速找到主机,断开其网络连接。
检查机器是因为病毒木马
发送ARP包破坏网络环境,还是人为的使用ARP的网络管理软件。
既然是使用的网络管理软件,先得询问使用者是否有管理网络的特权。
既然没有特权又为
何管理、控制网络呢?
方案三:
通过高档路由器进行双向绑定,即从路由器方面对从属客户机IP-MAC地址进行绑定,同时从客户机方面对路由器进行IP-MAC地址绑定,双向绑定让IP不容
易被欺骗。
这种方案的实施比较烦琐,在客户机器或路由器更改硬件时,需要对全网进行重新的MAC地址扫描并重新绑定,工作量巨大。
所取得的效果,仅
仅可以防御住一些低端的ARP欺骗,对于攻击型ARP软件则无任何作用。
方案四:
使用ARP防护软件,针对ARP欺骗攻击的软件在网络中很多,但具体的效果却一直不理想。
多数软件单单针对ARP欺骗攻击的某一方面特性进行制作抵御软件
的原理,并没有从根本上去考虑ARP欺骗攻击的产生与传播方式。
所以,这些软件在ARP防范领域影响甚微。
针对上述几种常见的传统防范ARP的方法,都有各自的优点,但是也都曝漏了其局限性,并不都可以完全解决ARP欺骗攻击。
网络中多台主机同时高频率的
发送ARP广播,会很轻易的造成网络瘫痪、路由器死机,使其它主机响应迟缓,甚至造成系统停止响应(假死)。
如果是ARP木马,还会进行传播,同时感
染其它网络中的其它主机,产生众多主机同时中毒的现象。
发贴者dengguo时间:
下午6:
390评论
标签:
ARP欺骗,防范ARP攻击
ARP透视——ARP欺骗,骗的是什么?
主持人:
大家好,今天的主题是《ARP欺骗,骗的是什么?
》很高兴邀请到我们的嘉宾资深网络技术专家张先生,为我们解答问题。
张:
谢谢主持人。
主持人:
他的title虽然是营销总监,但是也有深厚的功底,相信他今天给我们带来精采的解答。
前一段时间,有一件事情被炒得非常火热,就是MSN被监听。
实际上媒体也对MSN的监听软件做了报告,实际上它并不是非常容易被使用。
但是网上后来又
出了叫停类的文章,是说MSNMessenger是配合ARP欺骗软件,就起到了它原本应该有的作用。
我们想问一下张先生,ARP欺骗到底是什么样的技术?
张:
ARP欺骗我们必须从它的名词来讲。
ARP欺骗它是一个地址解读的协议。
地址解读协议是什么意思呢?
在我们互联网上面,最常用的协议是TCPIP,就是传
输的协议。
IP就是所谓定址的协议。
好比我们用哪一栋大楼,在什么地方,在网络上就是使用IP地址来定的。
但是在实体上,我们大家都知道,在每一台
电脑上都有实体的地址。
IP地址是网络的一个地址。
ARP就是让这两个地址跟IP地址产生关联的一个协议。
也就是说,我怎么知道哪一台IP在什么位置呢?
就是透过ARP去先地方他的IP地方在哪里,再把这个侦发过去。
像MSN是怎么欺骗的呢?
在局域网里面,我这个侦或者这个包本来要发到某一个IP,这个IP
对的机器是A机器。
它骗你这个IP对应的是第一台机器。
你就以为这个包要发到另外一台机器去。
这就是所谓ARP欺骗的基本想法和思维。
主持人:
ARP欺骗对于我们局域网的一些应用看来是很危险的。
张:
我从各地,从东莞,温州、宁波,在中国,普遍发现ARP欺骗影响,在早期是网吧。
它就是让这个网吧掉线。
其实我们早期发现的时候,刚刚主持人讲
的一些应用就是所谓的MSN监听。
在所谓的MSN,并没有做特殊的加密。
有些人就想了一些机制去监听。
其实ARP最早的应用就是在网络上盗取密码的。
就是
有一些在网吧里的用户,用ARP欺骗。
另外一个用户在输入用户名和密码的时候,就欺骗他的这台机器说,我的机器是路由器,他会把用户名的密码送到我
这台机器里面。
他就可以把这个用户名和密码解读出来。
等用户没有上网的时候,他就可以把这个宝盗走。
后来慢慢我们发现,很多用户用这个功能,在
这个上面做了很多的隐身,变得一发不可收拾。
本来我大概可以用三秒、五秒,后来就产生了很多隐身和变形,造成网断线。
因为应用的软件失控了,他
就可以在某一台机器上不断做这个欺骗的动作。
主持人:
ARP欺骗软件运行同时,为什么会造成频繁的断线呢?
张:
在我们以局域网运作来讲,我们有两种方式的传输。
一种对外传,就是我的用户有一个需求,他透过路由器对外界传送。
这个时候,这是一种。
另外一
种是回传。
当有用户在网络上假装他自己是路由器的时候,用户往外传的包或者侦就会送到假的用户去。
这个软件就会有一来、一回持续的运作。
当你今
天碰到ARP欺骗的时候,你就会发现你送去给他,他那边没有回应。
用户就觉得是掉线或者断线。
严重的时候,就会把其他的应用,也没有办法应用了。
所
以就感觉到大幅度掉线或者断线的功能。
主持人:
实际上就是造成断线的假象。
张:
实际上也真的断线了。
就像我今天跟你在讲话,但是你听不到我讲话的声音。
我的服务器也不知道我在跟他讲什么话。
另外一个人听到话,只是把它窃
取下来,记录下来,并没有给我回应。
就是这样的现象。
主持人:
刚才也说老了ARP欺骗最早可以用于盗取用户的一些密码、一些敏感信息。
现在我们知道,所有未加密的传送的软件,都应用配合一些应用工具监
听的。
能不能再给我们介绍一下,配合ARP欺骗使用,还有什么所谓的黑客行为呢?
张:
盗宝是最主要的,另外就是监听。
当ARP欺骗,可能配合其他的一些软件功能这样子的。
我们发现,在局域网里面,想盗取一些ARP,或者无线网络里面
,基本上都是用局域网的特性叫广播。
广播,像我们刚才提到的ARP欺骗为什么可以成型?
在每一个计算机里面,都存了一个IP地址的对应表。
但是每台机
器的内存有限,当这个表不够的时候,会传一个广播信息。
比如今天我要送给一个IP地址,我就问这个IP在哪里?
问出来,所有人都会接受。
假如在标准正
常的运作里面,大家知道我不是这个,我不用回应。
但是路由器知道,这个东西不是这个网域里面,不用送。
如果是假装这个IP地址的话,你就会产生一
种误解。
其实这种比较重大的威胁,我们看到无线这边,有人利用这个特性,做一些相关的动作。
主持人:
也就是说,在无线或者有限的局域网里面,你所做的一些行为,都可以用黑客软件配合ARP监控软件进行欺骗,截取。
张:
有一些比较低阶段的应用就是所谓的监听。
如果在对于这些软件做进一步的分析,比如我这个软件送的时候是什么需求,回来的时候是什么需求。
他可
以用另外一个目标把你所有的动作都拦截回去。
如果今天对方知道,像一个交易,他知道第一笔是什么,第二笔是什么,他把所有的资料都送过去。
他也
可以把你的讯息拦截走,再转送到服务器,再转送回来。
这样的隐身就变成了蛮复杂的状况在应用。
这也是各地对ARP效果影响越来越大的原因。
主持人:
这个是一般用户来说,也是蛮头疼的问题。
张:
用户因为不小心,用了一些软件,或者在PC里面点了一些MSN的连接等等,把这个程序启动了,他会发现自己渐渐受到了影响。
像今天早上我们的技术
支持跟我们说,湖北一些网吧,几乎没有人上网了。
因为上不了网。
主持人:
像有这种加密的软件传送,信息也是能被黑客截取。
只是截取后看不到内容?
张:
是的。
主持人:
前一阵子出有一个msnchatsniffer这样的软件,发现每一台机器都受到了扫描攻击。
后来我们分析,是中了病毒还是木马这类东西呢?
张:
其实在早期里面,ARP的很多功能,像陀螺仪木马这样的功能期在一起。
在早期的ARP,只是黑客用来盗取密码,用了三、五秒钟。
当你输入用户名和密
码的时候,另外一个用户发现没有回应,他会再输一次。
但是因为这些ARP的功能跟其他的木马或者其他的城市,或者网络上的连接、病毒结合在一起,所
以造成很大规模的影响,断线或者掉线。
像你刚刚提到的状况,这个用户可能不知道自己在做这样的事情,这是典型的病毒,这是病毒跟ARP结合的典型现
象。
主持人:
他能通过ARP欺骗的病毒做什么呢?
张:
ARP欺骗的病毒做到现在,对于制作的人或者散布的人没有什么太大的作用,纯粹是破坏的工具。
因为ARP可以收集网络上广播的包,如果进一步的应用
,肯定会有很多的黑客在思考这个问题。
因为网络上的特性属于来回,属于协议这样的状况,如果你好好利用,好的方向能保持网络顺畅,不好的方向可
以拦截任何他需要的资讯。
主持人:
从今年开始,在病毒这边应该是说黑客已经从最早的表现欲,已经转变成有目的性的盈利的目标,也就是说,ARP欺骗很可能被成为黑客盈利的手
段。
张:
你怎么样发生ARP欺骗的状况,我们必须从原理开始讲。
最简单的就是叫做ARP跟IP地址的对照表。
我们有一些文章描述到,你可以对这个网络进行扫描
。
像这个ARP的对照表,可以对这个网络进行扫描。
当你发现某一个对应IP地址的话,正常是一对一的关系,如果发现一对多的方式那就是异常的情况。
回
到我们刚刚讲的,预防ARP。
我们必须建立地址跟IP的固定关系。
因为它会欺骗你。
我们现在所谓绑定的功能,我们刚才讲了有两个方向做绑定,一个是路
由器的部分,你必须把内部的所有的机器,IP地址做一个绑定。
我们想了一些功能,可以让它作后面做激活的动作把它绑定。
很多用户发现我只要在路由器这边做好了就行了,在终端这边就不用做了。
但是这样的话,会发生部分的现象。
所以在用户这边有所谓的ARP—S的功能,
你把你的路由器的位置,也做绑定。
这样送给路由器的包就不会被别人拦截去。
我们刚才谈到了两个方向,一个是所谓的路由器端做绑定,就是所有机器
的IP地址。
另外是用户端也要绑定,绑的是路由器的IP,跟路由器的地址。
实际上我们最近发现另外一个现象,就是对于中毒的这台机器还有另外的处理
方式。
中毒的这台机器,虽然你针对每台机器绑定,但是这个设定从开机以后,就失效了。
所以我们建议用户把它写到启动的档案里面。
每次开机的时候
激活这个功能。
另外中毒的这台机器,虽然绑定了,但是它内部已经有病毒了。
虽然绑定了,但是它可以每秒快速写它的ARP。
这时候他对别人没有办法造成危害。
因为别
人已经把路由器跟这个机器的位置写得很确定了。
对这台上网的人还是有很多的困扰。
我们这种传统的绑定功能可以给他快速的写。
写到一秒两百次这样
的速度。
我们现在看到比较好的做法,就是把藏在里面的病毒去除掉,或者整个机器都要清理一下病毒。
这是我们现在比较完整的处理方式。
主持人:
真的是很精彩的解答。
如果我只对我个人的PC机做了绑定,路由那端没有做绑定,还会不会受到ARP欺骗?
张:
在个人这边做绑定,你可以确保你往路由送的包,确定会送到路由这边去。
但是路由送回来的时候,他可以在半路拦截。
告诉你路由器不要送给它,送
给我吧。
就把这个包拦截过去了。
所以我们刚才谈到要双向的包要严密。
现在有些网吧如果做单方面的绑定是不行的。
主持人:
很多人认为我一边绑定就可以了,实际上还是需要双方相的绑定。
河北前一段时间某公司,采用了贵公司的产品,和网吧结合出现了一些问题。
请
问有一些什么具体的问题吗?
张:
在早期的路由器的版本里面,也许没有这样的绑定的功能。
所以它就会产生掉线或者不稳定的状况。
主持人:
看来防范ARP还不是说用户个人的行为能够解决的,还需要网管和用户一起来解决。
张:
这个对网管而言是比较全面、头疼的工作。
其实对于网管而言比较复杂的地方在这边,就是你如果一次把所有局域网上的IP地址找出来的话,你必须要
借助一些工具。
不是现成的机器就可以做的。
必须在网络上下载。
就是msnchatsniffer,或者其他的工具。
还有一些行动的工作者,比如笔记本电脑来
了,你没有设在里面,这台就发生了这样的问题。
主持人:
不光是技术的问题,还牵涉到安全管理的问题。
所以说ARP欺骗可以说是无法彻底解决的问题。
可以这么说吗?
张:
在网络上有人提到,这个是在协议上的弱点。
但是我想说从技术的观点来讲,实际上有不同的方案可以解决。
在一些做路由器产品或者相关软件的,或
者做防毒的,大家都可以针对这个特性。
早期大家不是很了解,慢慢大家针对刚刚的特性,就是所有IP地址的绑定,你去给它更好的局限。
在早期因为很
开放,所以我在广播。
但是因为发生这样的问题,所以将来不管在嵌入的时候,或者在网络上广播的时候,不同的软件会做更多的规范,会降低这样的现
象。
主持人:
谢谢关先生精彩的发言。
我们中场休息一下。
我们再收集一下网友的提问,下半节请张先生回答。
发贴者dengguo时间:
下午6:
390评论
标签:
ARP欺骗,ARP欺骗攻击
ARP透视——ARP欺骗的危害
作为一名网络管理员,应该明确的知道网络中的ARP列表,收集ARP列表信息。
或者,为每台机器手工绑定IP地址,不允许客户机随意更改IP地址,将每
台机器的IP-->MAC信息保存为文件。
MAC地址:
通过一些方法可以使网卡的MAC地址发生改变。
所以不允许修改网卡的MAC地址。
IP地址与主机相对应。
xxxx_001为系统保留,通常就是网关了。
IP地址为xxx.xxx.xxx.1
例如:
xxxx_002这台主机的IP地址为局域网地址xxx.xxx.xxx.2
ARPtable
主机名部门IP地址C地址
xxxx_002-xxx.xxx.xxx.xxx-xx-xx-xx-xx-xx-xx
xxxx_003-xxx.xxx.xxx.xxx-xx-xx-xx-xx-xx-xx
xxxx_004-xxx.xxx.xxx.xxx-xx-xx-xx-xx-xx-xx
xxxx_005-xxx.xxx.xxx.xxx-xx-xx-xx-xx-xx-xx
xxxx_006-xxx.xxx.xxx.xxx-xx-xx-xx-xx-xx-xx
xxxx_007-xxx.xxx.xxx.xxx-xx-xx-xx-xx-xx-xx
xxxx_008-xxx.xxx.xxx.xxx-xx-xx-xx-xx-xx-xx
xxxx_009-xxx.xxx.xxx.xxx-xx-xx-xx-xx-xx-xx
xxxx_011-xxx.xxx.xxx.xxx-xx-xx-xx-xx-xx-xx
xxxx_012-xxx.xxx.xxx.xxx-xx-xx-xx-xx-xx-xx
xxxx_013-xxx.xxx.xxx.xxx-xx-xx-xx-xx-xx-xx
ARP协议:
####源IP地址-->源MAC地址#####将源IP地址解析为源MAC地址
####目标IP地址-->目标MAC地址####将目标IP地址解析为目标MAC地址
RARP协议:
####源MAC地址-->源IP地址####将源MAC地址解析为源IP地址
####目标MAC地址-->目标IP地址####将目标MAC地址解析为目标IP地址
ARP攻击检测:
#ARP–a
查看本机ARP缓存,正常情况下第一栏打印本机IP地址,第二栏返回当前网关的IP地址和MAC地址。
正常模式:
网络中只有一个网关,客户机ARP缓存只有一条ARP记录,并且这条记录是当前网关的IP-->MAC的映射。
混杂模式:
当ARP缓存中有多条IP-->MAC的记录,说明当前为混杂模式,网的网关不是唯一的。
排除:
在SuSELinux系统中,如果使用ping命令ping网络中的另一台主机,再用ARP-a的命令查看本机ARP缓存会多出一条ARP记录。
这条记录的源IP
地址就是刚才ping的那台主机的IP地址,源MAC地址就是刚才ping的那台主机的MAC址址。
获取网络中的ARP信息:
使用ping命令ping网络中的另一台主机,然后再使用ARP-a或者是ARP-na的命令可以查看到刚才ping的那台网络中的主机的IP
和MAC地址的映射关系。
注意,使用此方法获得的ARP信息不代表网络一定为混杂模式。
如果网关路由工作正常,且有合法的公网地址
sled10:
~#ARP-na
(192.168.1.241)at00:
01:
01:
02:
02:
39[ether]oneth0
(192.168.1.150)at00:
E0:
4C:
3A:
1D:
BC[ether]oneth0
(192.168.1.1)at00:
14:
78:
A1:
7F:
78[ether]oneth0
sled10:
~#
能够访问广域网的情况下:
使用ping命令ping广域网上的一个域名
>正常的现象:
#ping
#ping
#ping
sled10:
~#ping
PINGwww.yahoo-(209.131.36.158)56(84)bytesofdata.
64bytesfrom(209.131.36.158):
ICMP_seq=1ttl=51time=1183ms
64bytesfrom(209.131.36.158):
ICMP_seq=2ttl=51time=1458ms
64bytesfrom(209.131.36.158):
ICMP_seq=3ttl=51time=1287ms
64bytesfrom(209.131.36.158):
ICMP_seq=4ttl=51time=1185ms
64bytesfrom(209.131.36.158):
ICMP_seq=5ttl=51time=934ms
>非正常情况:
分析ARP欺骗的原理
sled10:
~#ping
PING(61.172.240.44)56(84)bytesofdata.
From192.168.1.241:
ICMP_seq=237RedirectHost(Newnexthop:
192.168.1.1)
64bytesfrom61.172.240.45:
ICMP_seq=237ttl=53time=25.6ms
From192.168.1.241:
ICMP_seq=238RedirectHost(Newnexthop:
192.168.1.1)
64bytesfrom61.172.240.45:
ICMP_seq=238ttl=53time=25.3ms
From192.168.1.241:
ICMP_seq=239RedirectHost(Newnexthop:
192.168.1.1)
64bytesfrom61.172.240.45:
ICMP_seq=239ttl=53time=25.6ms
From192.168.1.241:
ICMP_seq=240RedirectHost(Newnexthop:
192.168.1.1)
64bytesfrom61.172.240.45:
ICMP_seq=240ttl=53time=25.8ms
From192.168.1.241:
ICMP_seq=241RedirectHost(Newnexthop:
192.168.1.1)
64bytesfrom61.172.240.45:
ICMP_seq=241ttl=53time=26.0ms
From192.168.1.241:
ICMP_seq=242RedirectHost(Newnexthop:
192.168.1.1)
From192.168.1.241:
ICMP_seq=240RedirectHost(Newnexthop:
192.168.1.1)
上面的ping后,从局域网的192.168.1.241返回一条ICMP包。
>>>
64bytesfrom61.172.240.45:
ICMP_seq=239ttl=53time=25.6ms
接着,从广域网返回一条ICMP包。
注意,正常的的情况下ping广域网的域名或IP地址应该只会收到广域网地址返回的ICMP包。
同时反覆的高频率的从局域网的一台主机返回的ICMP包属于非正常的情况。
.......................................................................................................
From192.168.1.241:
ICMP_seq=240RedirectHost(Newnexthop:
192.168.1.1)
Redirect:
['ri:
di'rekt]
a.再直接的
v.重新传入,重新寄送
英英解释:
动词redirect:
.......................................................................................................
注意!
!
上面的英文解释是“再连接的”,也就是说每次ping广域网的一个域名都会先收到这个局域网内的机器的ICMP包。
这个ICMP包是“再连接的”,也就是说不是始终连接的。
只有当有网络请求时才会
- 配套讲稿:
如PPT文件的首页显示word图标,表示该PPT已包含配套word讲稿。双击word图标可打开word文档。
- 特殊限制:
部分文档作品中含有的国旗、国徽等图片,仅作为作品整体效果示例展示,禁止商用。设计者仅对作品中独创性部分享有著作权。
- 关 键 词:
- ARP 攻击 故障 排除 知识