ARP攻擊的防范與解決方案_第1頁
ARP攻擊的防范與解決方案_第2頁
ARP攻擊的防范與解決方案_第3頁
ARP攻擊的防范與解決方案_第4頁
ARP攻擊的防范與解決方案_第5頁
全文預(yù)覽已結(jié)束

下載本文檔

版權(quán)說明:本文檔由用戶提供并上傳,收益歸屬內(nèi)容提供方,若內(nèi)容存在侵權(quán),請進(jìn)行舉報(bào)或認(rèn)領(lǐng)

文檔簡介

1、ARP攻擊的防范與解決方案“”傳奇殺手木馬病毒,俗稱“ARP欺騙攻擊”,其主要通過偽造IP地址和MAC地址實(shí)現(xiàn)ARP欺騙,能夠在網(wǎng)絡(luò)中產(chǎn)生大量的ARP通信量使網(wǎng)絡(luò)阻塞或者實(shí)現(xiàn)“man in the middle” 進(jìn)行ARP重定向和嗅探攻擊。故障現(xiàn)象:間斷性斷網(wǎng),網(wǎng)速變慢,本機(jī)IP地址和MAC地址發(fā)生變化。當(dāng)局域網(wǎng)內(nèi)某臺主機(jī)運(yùn)行ARP欺騙的木馬程序時(shí),會欺騙局域網(wǎng)內(nèi)所有主機(jī)和路由器,讓所有上網(wǎng)的流量必須經(jīng)過病毒主機(jī)。其他用戶原來直接通過路由器上網(wǎng)現(xiàn)在轉(zhuǎn)由通過病毒主機(jī)上網(wǎng),切換的時(shí)候用戶會斷一次線。 切換到病毒主機(jī)上網(wǎng)后,如果用戶已經(jīng)登陸了服務(wù)器,那么病毒主機(jī)就會經(jīng)常偽造斷線的假像,那么用戶就得

2、重新登錄服務(wù)器,這樣病毒主機(jī)就可以盜號了。 由于ARP欺騙的木馬程序發(fā)作的時(shí)候會發(fā)出大量的數(shù)據(jù)包導(dǎo)致局域網(wǎng)通訊擁塞以及其自身處理能力的限制,用戶會感覺上網(wǎng)速度越來越慢。當(dāng)ARP欺騙的木馬程序停止運(yùn)行時(shí),用戶會恢復(fù)從路由器上網(wǎng),切換過程中用戶會再斷一次線。故障原理:要了解故障原理,我們先來了解一下ARP協(xié)議。 在局域網(wǎng)中,通過ARP協(xié)議來完成IP地址轉(zhuǎn)換為第二層物理地址(即MAC地址)的。ARP協(xié)議對網(wǎng)絡(luò)安全具有重要的意義。通過偽造IP地址和MAC地址實(shí)現(xiàn)ARP欺騙,能夠在網(wǎng)絡(luò)中產(chǎn)生大量的ARP通信量使網(wǎng)絡(luò)阻塞。 ARP協(xié)議是“Address Resolution Protocol”(地址解析協(xié)

3、議)的縮寫。在局域網(wǎng)中,網(wǎng)絡(luò)中實(shí)際傳輸?shù)氖恰皫保瑤锩媸怯心繕?biāo)主機(jī)的MAC地址的。在以太網(wǎng)中,一個主機(jī)要和另一個主機(jī)進(jìn)行直接通信,必須要知道目標(biāo)主機(jī)的MAC地址。但這個目標(biāo)MAC地址是如何獲得的呢?它就是通過地址解析協(xié)議獲得的。所謂“地址解析”就是主機(jī)在發(fā)送幀前將目標(biāo)IP地址轉(zhuǎn)換成目標(biāo)MAC地址的過程。ARP協(xié)議的基本功能就是通過目標(biāo)設(shè)備的IP地址,查詢目標(biāo)設(shè)備的MAC地址,以保證通信的順利進(jìn)行。 每臺安裝有TCP/IP協(xié)議的電腦里都有一個ARP緩存表,表里的IP地址與MAC地址是一一對應(yīng)的,如下表所示。 主機(jī) IP地址 MAC地址 我們以主機(jī)A()向主機(jī)B()發(fā)送數(shù)據(jù)為例。當(dāng)發(fā)送數(shù)據(jù)時(shí),主

4、機(jī)A會在自己的ARP緩存表中尋找是否有目標(biāo)IP地址。如果找到了,也就知道了目標(biāo)MAC地址,直接把目標(biāo)MAC地址寫入幀里面發(fā)送就可以了;如果在ARP緩存表中沒有找到相對應(yīng)的IP地址,主機(jī)A就會在網(wǎng)絡(luò)上發(fā)送一個廣播,目標(biāo)MAC地址是,這表示向同一網(wǎng)段內(nèi)的所有主機(jī)發(fā)出這樣的詢問:的MAC地址是什么?”網(wǎng)絡(luò)上其他主機(jī)并不響應(yīng)ARP詢問,只有主機(jī)B接收到這個幀時(shí),才向主機(jī)A做出這樣的回應(yīng):的MAC地址是bb-bb-bb-bb-bb-bb”。這樣,主機(jī)A就知道了主機(jī)B的MAC地址,它就可以向主機(jī)B發(fā)送信息了。同時(shí)它還更新了自己的ARP緩存表,下次再向主機(jī)B發(fā)送信息時(shí),直接從ARP緩存表里查找就可以了。AR

5、P緩存表采用了老化機(jī)制,在一段時(shí)間內(nèi)如果表中的某一行沒有使用,就會被刪除,這樣可以大大減少ARP緩存表的長度,加快查詢速度。 從上面可以看出,ARP協(xié)議的基礎(chǔ)就是信任局域網(wǎng)內(nèi)所有的人,那么就很容易實(shí)現(xiàn)在以太網(wǎng)上的ARP欺騙。對目標(biāo)A進(jìn)行欺騙,A去Ping主機(jī)C卻發(fā)送到了DD-DD-DD-DD-DD-DD這個地址上。如果進(jìn)行欺騙的時(shí)候,把C的MAC地址騙為DD-DD-DD-DD-DD-DD,于是A發(fā)送到C上的數(shù)據(jù)包都變成發(fā)送給D的了。這不正好是D能夠接收到A發(fā)送的數(shù)據(jù)包了么,嗅探成功。 A對這個變化一點(diǎn)都沒有意識到,但是接下來的事情就讓A產(chǎn)生了懷疑。因?yàn)锳和C連接不上了。D對接收到A發(fā)送給C的數(shù)

6、據(jù)包可沒有轉(zhuǎn)交給C。 做“man in the middle”,進(jìn)行ARP重定向。打開D的IP轉(zhuǎn)發(fā)功能,A發(fā)送過來的數(shù)據(jù)包,轉(zhuǎn)發(fā)給C,好比一個路由器一樣。不過,假如D發(fā)送ICMP重定向的話就中斷了整個計(jì)劃。 D直接進(jìn)行整個包的修改轉(zhuǎn)發(fā),捕獲到A發(fā)送給C的數(shù)據(jù)包,全部進(jìn)行修改后再轉(zhuǎn)發(fā)給C,而C接收到的數(shù)據(jù)包完全認(rèn)為是從A發(fā)送來的。不過,C發(fā)送的數(shù)據(jù)包又直接傳遞給A,倘若再次進(jìn)行對C的ARP欺騙?,F(xiàn)在D就完全成為A與C的中間橋梁了,對于A和C之間的通訊就可以了如指掌了。在局域網(wǎng)內(nèi)查找病毒主機(jī)方法:在上面我們已經(jīng)知道了使用ARP欺騙木馬的主機(jī)的MAC地址,那么我們就可以使用NBTSCAN(下載地址:

7、)工具來快速查找它。 NBTSCAN可以取到PC的真實(shí)IP地址和MAC地址,如果有該病毒在做怪,可以找到裝有木馬的PC的IP/和MAC地址。 命令:(搜索整個網(wǎng)段, 即 );或搜索網(wǎng)段,即。輸出結(jié)果第一列是IP地址,最后一列是MAC地址。 NBTSCAN的使用范例: 假設(shè)查找一臺MAC地址為“000d870d585f”的病毒主機(jī)。 1)將壓縮包中的nbtscan.exe 和cygwin1.dll解壓縮放到c:下。 2)在Windows開始運(yùn)行打開,輸入cmd(windows98輸入“command”),在出現(xiàn)的DOS窗口中輸入:(這里需要根據(jù)用戶實(shí)際網(wǎng)段輸入),回車。 Warning: -r option not supported under Windows. Running without it. IP address NetBIOS Name Server User MAC address - 3)通過查詢IP-MAC對應(yīng)表,查出“000d870d585f”的病毒主機(jī)的IP地址為。解決方案:建議采用雙向綁定的方法解決并且防止。 1、在PC上綁定路由器的IP和MAC地址: 1)首先,獲得路由器的內(nèi)網(wǎng)管理啟動 ” 中。 2 、在路由器上綁定用戶主機(jī)的 IP 和 MAC 地址( 440 以后的路由器軟件版本 支持 ):

溫馨提示

  • 1. 本站所有資源如無特殊說明,都需要本地電腦安裝OFFICE2007和PDF閱讀器。圖紙軟件為CAD,CAXA,PROE,UG,SolidWorks等.壓縮文件請下載最新的WinRAR軟件解壓。
  • 2. 本站的文檔不包含任何第三方提供的附件圖紙等,如果需要附件,請聯(lián)系上傳者。文件的所有權(quán)益歸上傳用戶所有。
  • 3. 本站RAR壓縮包中若帶圖紙,網(wǎng)頁內(nèi)容里面會有圖紙預(yù)覽,若沒有圖紙預(yù)覽就沒有圖紙。
  • 4. 未經(jīng)權(quán)益所有人同意不得將文件中的內(nèi)容挪作商業(yè)或盈利用途。
  • 5. 人人文庫網(wǎng)僅提供信息存儲空間,僅對用戶上傳內(nèi)容的表現(xiàn)方式做保護(hù)處理,對用戶上傳分享的文檔內(nèi)容本身不做任何修改或編輯,并不能對任何下載內(nèi)容負(fù)責(zé)。
  • 6. 下載文件中如有侵權(quán)或不適當(dāng)內(nèi)容,請與我們聯(lián)系,我們立即糾正。
  • 7. 本站不保證下載資源的準(zhǔn)確性、安全性和完整性, 同時(shí)也不承擔(dān)用戶因使用這些下載資源對自己和他人造成任何形式的傷害或損失。

評論

0/150

提交評論