DHCP欺骗、ARP 欺骗、CAM表攻击的预防 端口安全
Cisco交换机上防范ARP欺骗和二层攻击
人为实施通常是指使用一些黑客的工具对网络进行扫描和嗅探,获取管理帐户和相关密码,在网络上中安插木马,从而进行进一步窃取机密文件。攻击和欺骗过程往往比较隐蔽和安静,但对于信息安全要求高的企业危害是极大的。而来自木马或者病毒及蠕虫的攻击和往往会偏离攻击和欺骗本身的目的,现象有时非常直接,会带来网络流量加大、设备CPU 利用率过高、二层生成树环路直至网络瘫痪。
目前这类攻击和欺骗工具已经非常成熟和易用,而目前企业在部署这方面的防范还存在很多不足,有很多工作要做。思科针对这类攻击已有较为成熟的解决方案,主要基于下面的几个关键的技术:
? Port Security feature
? DHCP Snooping
? Dynamic ARP Inspection (DAI)
? IP Source Guard
下面部分主要针对目前非常典型的二层攻击和欺骗说明如何在思科交换机上组合运用和部署上述技术,从而实现防止在交换环境中实施“中间人”攻击、MAC/CAM 攻击、DHCP 攻击、地址欺骗等,更具意义的是通过上面技术的部署可以简化地址管理,直接跟踪用户IP 和对应的交换机端口;防止IP 地址冲突。同时对于大多数对二层网络造成很大危害的具有地址扫描、欺骗等特征的病毒可以有效的报警和隔离。
1 MAC/CAM攻击的防范
1.1MAC/CAM攻击的原理和危害
交换机主动学习客户端的MAC 地址,并建立和维护端口和MAC 地址的对应表以此建立交换路径,这个表就是通常我们所说的CAM 表。CAM 表的大小是固定的,不同的交换机的CAM 表大小不同。MAC/CAM 攻击是指利用工具产生欺骗MAC ,快速填满CAM 表,交换机CAM 表被填满后,交换机以广播方式处理通过交换机的报文,这时攻击者可以利用各种嗅探攻击获取网络信息。CAM 表满了后,流量以洪泛方式发送到所有接口,也就代表TRUNK 接口上的流量也会发给所有接口和邻接交换机,会造成交换机负载过大,网络缓慢和丢包甚至瘫痪。
1.2典型的病毒利用MAC/CAM攻击案例
曾经对网络照成非常大威胁的SQL 蠕虫病毒就利用组播目标地址,构造假目标MAC 来填满交换机CAM 表。其特征如下图所示:
1.3使用Port Security feature 防范MAC/CAM攻击
思科Port Security feature 可以防止MAC 和MAC/CAM 攻击。通过配置Port Security 可以控制:
? 端口上最大可以通过的MAC 地址数量
? 端口上学习或通过哪些MAC 地址
? 对于超过规定数量的MAC 处理进行违背处理
端口上学习或通过哪些MAC 地址,可以通过静态手工定义,也可以在交换机自动学习。交换机动态学习端口MAC ,直到指定的MAC 地址数量,交换机关机后重新学习。目前较新的技术是Sticky Port Security ,交换机将学到的mac 地址写到端口配置中,交换机重启后配置仍然存在。
对于超过规定数量的MAC 处理进行处理一般有三种方式(针对交换机型号会有所不同):? Shutdown 。这种方式保护能力最强,但是对于一些情况可能会为管理带来麻烦,如某台设备中了病毒,病毒间断性伪造源MAC 在网络中发送报文。
? Protect 。丢弃非法流量,不报警。
? Restrict 。丢弃非法流量,报警,对比上面会是交换机CPU 利用率上升但是不影响交换机的正常使用。推荐使用这种方式。
1.4配置
port-security 配置选项:
Switch(config-if)# switchport port-security ?
aging Port-security aging commands
mac-address Secure mac address
maximum Max secure addresses
violation Security violation mode
配置port-security 最大mac 数目,违背处理方式,恢复方法
Cat4507(config)#int fastEthernet 3/48
Cat4507 (config-if)#switchport port-security
Cat4507 (config-if)#switchport port-security
maximum 2
Cat4507 (config-if)#switchport port-security
violation shutdown
Cat4507 (config)#errdisable recovery cause
psecure-violation
Cat4507 (config)#errdisable recovery interval 30
通过配置sticky port-security学得的MAC
interface FastEthernet3/29
switchport mode access
switchport port-security
switchport port-security maximum 5
switchport port-security mac-address sticky
switchport port-security mac-address sticky
000b.db1d.6ccd
switchport port-security mac-address sticky
000b.db1d.6cce
switchport port-security mac-address sticky
000d.6078.2d95
switchport port-security mac-address sticky
000e.848e.ea01
1.5使用其它技术防范MAC/CAM攻击
除了Port Security 采用DAI 技术也可以防范MAC 地址欺骗。
2 DHCP攻击的防范
2.1采用DHCP管理的常见问题:
采用DHCP server 可以自动为用户设置网络IP 地址、掩码、网关、DNS 、WINS 等网络参数,简化了用户网络设置,提高了管理效率。但在DHCP 管理使用上也存在着一些另网管人员比较问题,常见的有:
? DHCP server 的冒充。
? DHCP server 的Dos 攻击。
? 有些用户随便指定地址,造成网络地址冲突。
由于DHCP 的运作机制,通常服务器和客户端没有认证机制,如果网络上存在多台DHCP 服务器将会给网络照成混乱。由于用户不小心配置了DHCP 服务器引起的网络混乱非常常见,足可见故意人为破坏的简单性。通常黑客攻击是首先将正常的DHCP 服务器所能分配的IP 地址耗尽,然后冒充合法的DHCP 服务器。最为隐蔽和危险的方法是黑客利用冒充的DHCP 服务器,为用户分配一个经过修改的DNS server ,在用户毫无察觉的情况下
被引导在预先配置好的假金融网站或电子商务网站,骗取用户帐户和密码,这种攻击是非常恶劣的。
对于DHCP server 的Dos 攻击可以利用前面将的Port Security 和后面提到的DAI 技术,对于有些用户随便指定地址,造成网络地址冲突也可以利用后面提到的DAI 和IP Source Guard 技术。这部分着重介绍DHCP 冒用的方法技术。
2.2DHCP Snooping技术概况
DHCP Snooping技术是DHCP安全特性,通过建立和维护DHCP Snooping绑定表过滤不可信任的DHCP信息,这些信息是指来自不信任区域的DHCP信息。DHCP Snooping 绑定表包含不信任区域的用户MAC地址、IP地址、租用期、VLAN-ID 接口等信息,如下表所示:
cat4507#sh ip dhcp snooping binding
MacAddress IpAddress Lease(sec) Type VLAN Interface
------------------ --------------- ----------
------- ---- -----------------
00:0D:60:2D:45:0D 10.149.3.13 600735 dhcp-snooping
100 GigabitEthernet1/0/7
这张表不仅解决了DHCP用户的IP和端口跟踪定位问题,为用户管理提供方便,而且还供给动态ARP检测DA)和IP Source Guard使用。
2.3基本防范
首先定义交换机上的信任端口和不信任端口,对于不信任端口的DHCP 报文进行截获和嗅探,DROP 掉来自这些端口的非正常DHCP 报文,如下图所示:
基本配置示例如下表:
IOS 全局命令:
ip dhcp snooping vlan 100,200 /* 定义哪些 VLAN 启
用 DHCP 嗅探
ip dhcp snooping
接口命令
ip dhcp snooping trust
no ip dhcp snooping trust (Default)
ip dhcp snooping limit rate 10 (pps) /* 一定程度上
防止 DHCP 拒绝服 /* 务攻击
手工添加 DHCP 绑定表
ip dhcp snooping binding 1.1.1 vlan 1 1.1.1.1
interface gi1/1 expiry 1000
导出 DHCP 绑定表到 TFTP 服务器
ip dhcp snooping database tftp://
10.1.1 .1/directory/file
需要注意的是DHCP 绑定表要存在本地存贮器(Bootfalsh 、slot0 、ftp 、tftp) 或导出到指定TFTP 服务器上,否则交换机重启后DHCP 绑定表丢失,对于已经申请到IP 地址的设备在租用期内,不会再次发起DHCP 请求,如果此时交换机己经配置了下面所讲到的DAI 和IP Source Guard 技术,这些用户将不能访问网络。
2.3高级防范
通过交换机的端口安全性设置每个DHCP 请求指定端口上使用唯一的MAC 地址,通常DHCP 服务器通过DHCP 请求的报文中的CHADDR 段判断客户端MAC 地址,通常这个地址和客户端的真是IP 相同,但是如果攻击者不修改客户端的MAC 而修改DHCP 报文中CHADDR ,实施Dos 攻击,Port Security 就不起作用了,DHCP 嗅探技术可以检查DHCP 请求报文中的CHADDR 字段,判断该字段是否和DHCP 嗅探表相匹配。这项功能在有些交换机是缺省配置的,有些交换机需要配置,具体需要参考相关交换机的配置文档。
3 ARP欺骗/ MITM(Man-In-The-Middle)攻击原理和防范
3.1 MITM(Man-In-The-Middle) 攻击原理
按照ARP 协议的设计,为了减少网络上过多的ARP 数据通信,一个主机,即使收到的ARP 应答并非自己请求得到的,它也会将其插入到自己的ARP 缓存表中,这样,就造成了“ ARP 欺骗”的可能。如果黑客想探听同一网络中两台主机之间的通信(即使是通过交换机相连),他会分别给这两台主机发送一个ARP 应答包,让两台主机都“误”认为对方的MAC 地址是第三方的黑客所在的主机,这样,双方看似“直接”的通信连接,实际上都是通过黑客所在的主机间接进行的。黑客一方面得到了想要的通信内容,另一方面,只需要更改数据包中的一些信息,成功地做好转发工作即可。在这种嗅探方式中,黑客所在主机是不需要设置网卡的混杂模式的,因为通信双方的数据包在物理上都是发送给黑客所在的中转主机的。
这里举个例子,假定同一个局域网内,有3 台主机通过交换机相连:
A 主机: IP 地址为 192.168.0.1 , MAC 地址为
01:01:01:01:01:01 ;
B 主机: IP 地址为 192.168.0.2 , MA
C 地址为
02:02:02:02:02:02 ;
C 主机: IP 地址为 192.168.0.3 , MAC 地址为
03:03:03:03:03:03 。
B 主机对A 和
C 进行欺骗的前奏就是发送假的ARP 应答包,如图所示
在收到B主机发来的ARP应答后,A主机应知道:
到192.168.0.3 的数据包应该发到MAC 地址为020********* 的主机;C 主机也知道:到192.168.0.1 的数据包应该发到MAC 地址为020********* 的主机。这样,A 和C 都认为对方的MAC 地址是020********* ,实际上这就是B 主机所需得到的结果。当然,因为ARP 缓存表项是动态更新的,其中动态生成的映射有个生命期,一般是两分钟,如果再没有新的信息更新,ARP 映射项会自动去除。所以, B 还有一个“任务”,那就是一直连续不断地向 A 和 C 发送这种虚假的ARP 响应包,让其ARP缓存中一直保持被毒害了的映射表项。
现在,如果A 和 C 要进行通信,实际上彼此发送的数据包都会先到达B 主机,这时,如果B 不做进一步处理,A 和 C 之间的通信就无法正常建立,B 也就达不到“嗅探”通信内容的目的,因此,B 要对“错误”收到的数据包进行一番修改,然后转发到正确的目的地,而修改的内容,无非是将目的MAC 和源MAC 地址进行替换。如此一来,在 A 和 C 看来,彼此发送的数据包都是直接到达对方的,但在B 来看,自己担当的就是“第三者”的角色。这种嗅探方法,也被称作“ Man-In-The-Middle ”的方法。如图所示。
3.2攻击实例
目前利用ARP原理编制的工具十分简单易用,这些工具可以直接嗅探和分析FTP、POP3、SMB、SMTP、HTTP/HTTPS、SSH、MSN等超过30种应用的密码和传输内容。下面是测试时利用工具捕获的TELNET 过程,捕获内容包含了TELNET 密码和全部所传的内容:
不仅仅是以上特定应用的数据,利用中间人攻击者可将监控到数据直接发给SNIFFER等嗅探器,这样就可以监控所有被欺骗用户的数据。
还有些人利用ARP原理开发出网管工具,随时切断指定用户的连接。这些工具流传到捣乱者手里极易使网络变得不稳定,通常这些故障很难排查。
3.3防范方法
思科Dynamic ARP Inspection (DAI)在交换机上提供IP地址和MAC地址的绑定,并动态建立绑定关系。DAI 以DHCP Snooping绑定表为基础,对于没有使用DHCP的服务器个别机器可以采用静态添加ARP access-list实现。DAI配置针对VLAN,对于同一VLAN内的接口可以开启DAI也可以关闭。通过DAI可以控制某个端口的ARP请求报文数量。通过这些技术可以防范“中间人”攻击。
3.3配置示例
IOS 全局命令:
ip dhcp snooping vlan 100,200
no ip dhcp snooping information option
ip dhcp snooping
ip arp inspection vlan 100,200 /* 定义对哪些 VLAN 进
行 ARP 报文检测
ip arp inspection log-buffer entries 1024
ip arp inspection log-buffer logs 1024 interval 10
IOS 接口命令:
ip dhcp snooping trust
ip arp inspection trust /* 定义哪些接口是信任接口,
通常是网络设备接口, TRUNK 接口等
ip arp inspection limit rate 15 (pps) /* 定义接口
每秒 ARP 报文数量
对于没有使用DHCP 设备可以采用下面办法:
arp access-list static-arp
permit ip host 10.66.227.5 mac host 0009.6b88.d387
ip arp inspection filter static-arp vlan 201
3.3配置DAI后的效果:
? 在配置DAI技术的接口上,用户端不能采用指定地址地址将接入网络。
? 由于DAI检查DHCP snooping绑定表中的IP和MAC对应关系,无法实施中间人攻击,攻击工具失效。下表为实施中间人攻击是交换机的警告:
3w0d: %SW_DAI-4-DHCP_SNOOPING_DENY: 1 Invalid ARPs (Req) on
Fa5/16, vlan 1.
([000b.db1d.6ccd/192.168.1.200/0000.0000.0000/192.168.1.2
? 由于对ARP请求报文做了速度限制,客户端无法进行认为或者病毒进行的IP扫描、探测等行为,如果发生这些行为,交换机马上报警或直接切断扫描机器。如下表所示:3w0d: %SW_DAI-4-PACKET_RATE_EXCEEDED: 16 packets
received in 184 milliseconds on Fa5/30. ******报警
3w0d: %PM-4-ERR_DISABLE: arp-inspection error
detected on Fa5/30, putting Fa5/ 30 in err-disable
state
******切断端口
I49-4500-1#.....sh int f.5/30
FastEthernet5/30 is down, line protocol is down
(err-disabled)
Hardware is Fast Ethernet Port , address is
0002.b90e .3f 4d (bia 0002.b90e .3f 4d)
MTU 1500 bytes, BW 100000 Kbit, DLY 100 usec,
reliability 255/255, txload 1/255, rxload 1/255
I49-4500-1#......
? 用户获取IP地址后,用户不能修改IP或MAC,如果用户同时修改IP和MAC必须是网络内部合法的IP和MAC才可,对于这种修改可以使用下面讲到的IP Source Guard 技术来防范。下表为手动指定IP的报警:
3w0d: %SW_DAI-4-DHCP_SNOOPING_DENY: 1 Invalid ARPs (Req) on Fa5/30, vlan
1.([000d.6078.2d95/19
2.168.1.100/0000.0000.0000/192.168.1.100/01:52:2 8 UTC Fri Dec 29 2000 ])
4 IP/MAC欺骗的防范
4.1常见的欺骗攻击的种类和目的
常见的欺骗种类有MAC欺骗、IP欺骗、IP/MAC欺骗,其目的一般为伪造身份或者获取针对IP/MAC的特权。当目前较多的是攻击行为:如Ping Of Death、syn flood、ICMP unreacheable Storm,另外病毒和木马的攻击也具有典型性,下面是木马攻击的一个例子。
4.2攻击实例
下图攻击为伪造源地址攻击,其目标地址为公网上的DNS服务器,直接目的是希望通使DNS服务器对伪造源地址的响应和等待,造成DDOS攻击,并以此扩大攻击效果。该攻击每秒钟上万个报文,中档交换机2分钟就瘫痪,照成的间接后果非常大。
4.3IP/MAC欺骗的防范
IP Source Guard 技术配置在交换机上仅支持在2 层端口上的配置,通过下面机制可以防范IP/MAC 欺骗:
? IP Source Guard 使用DHCP sooping 绑定表信息。
? 配置在交换机端口上,并对该端口生效。
? 运作机制类似DAI,但是IP Source Guard不仅仅检查ARP报文,所有经过定义IP Source Guard检查的端口的报文都要检测。
? IP Source Guard检查接口所通过的流量的IP地址和MAC地址是否在DHCP sooping绑定表,如果不在绑定表中则阻塞这些流量。注意如果需要检查MAC需要DHCP 服务器支持Option 82,同时使路由器支持Option 82信息。
通过在交换机上配置IP Source Guard:
? 可以过滤掉非法的IP地址,包含用户故意修改的和病毒、攻击等造成的。
? 解决IP地址冲突问题。
? 提供了动态的建立IP+MAC+PORT的对应表和绑定关系,对于不使用DHCP的服务器和一些特殊情况机器可以采用利用全局命令静态手工添加对应关系到绑定表中。
? 配置IP Source Guard的接口初始阻塞所有非DHCP流量。
? 不能防止“中间人攻击”。
对于IP欺骗在路由器上也可以使用urpf技术。
4.4配置示例:
检测接口上的IP+MAC
IOS 全局配置命令:
ip dhcp snooping vlan 12,200
ip dhcp snooping information option
ip dhcp snooping
接口配置命令:
ip verify source vlan dhcp-snooping port-security
switchport mode access
switchport port-security
switchport port-security limit rate
invalid-source-mac N
/* 控制端口上所能学习源MAC 的速率,仅当IP+MAC 同时检测时有意义。
检测接口上的IP
IOS 全局配置命令
ip dhcp snooping vlan 12,200
no ip dhcp snooping information option
ip dhcp snooping
接口配置命令:
ip verify source vlan dhcp-snooping
不使用DHCP 的静态配置
IOS 全局配置命令:
ip dhcp snooping vlan 12,200
ip dhcp snooping information option
ip dhcp snooping
ip source binding 0009.6b88.d387 vlan 212
10.66.227.5 interface Gi4/5
5 IP地址管理和病毒防范的新思路
5.1IP地址管理
综上所述通过配置思科交换机的上述特征,不仅解决了一些典型攻击和病毒的防范问题,也为传统IP地址管理提供了新的思路。
通过上面的几项技术解决了传统的利用DHCP服务器管理客户端IP地址的问题:
? 故意不使用手工指定静态IP地址和DHCP分配地址冲突
? 配置DHCP server
? 使用静态指定IP遇到的问题
? 不使用分配的IP地址和服务器或其他地址冲突
? 不容易定位IP地址和具体交换机端口对应表
使用静态地址的重要服务器和计算机,可以进行静态绑定IP+MAC、IP+MAC+PORT,手工配置DAI和IP Source Guard绑定表项,来保护这些设备,同时也防止来自这些设备的攻击。
目前对于网络病毒的不断爆发,越来越多的用户开始重视对PC的管理,用户关注谁能访问网络、访问以后能做什么、做了哪些事情、这就是我们常说的AAA认证,除了这些用户希望能够很快定位到用户在哪台交换机、哪个端口、以哪个IP和MAC登陆,这样有有
了”AAA+A”( Authenticate, Authorize,Account , Address )的概念。
通过上面的配置我们在网络层面已经可以定位用户了,加上802.1X认证我们可以在网络层面根据用户的身份为用户授权,从而实现”AAA+A”。
更进一步要审计用户所使用电脑具备的条件,如系统补丁、所装杀毒软件及补丁、等条件可以考虑采用思科网络准入控制NAC。
5.2使用DHCP Snooping 、DAI、IP Source Guard技术能解决的有关病毒问题由于大多数对局域网危害较大的网络病毒都具有典型的欺骗和扫描,快速发包,大量ARP 请求等特征,采用上述技术一定程度上可以自动切断病毒源,及时告警,准确定位病毒源。
实验二 ARP欺骗实验
实验二ARP欺骗实验 【实验目的】 加深对ARP高速缓存的理解 了解ARP欺骗在网络攻击中的应用 【实验原理】 ARP欺骗是黑客常用的攻击手段之一,ARP欺骗分为二种,一种是对路由器ARP表的欺骗;另一种是对内网PC的网关欺骗。 第一种ARP欺骗的原理是——截获网关数据。它通过发送ARP应答包通知路由器一系列错误的内网MAC地址,并按照一定的频率不断进行,使真实的地址信息无法通过更新保存在路由器中,结果路由器的所有数据只能发送给错误的MAC地址,造成正常PC无法收到信息。第二种ARP欺骗的原理是——伪造网关。它的原理是建立假网关,让被它欺骗的PC向假网关发数据,而不是通过正常的路由器途径上网。在PC看来,就是上不了网了,―网络掉线了‖。 ARP表是IP地址和MAC地址的映射关系表,任何实现了IP协议栈的设备,一般情况下都通过该表维护IP地址和MAC地址的对应关系,这是为了避免ARP 解析而造成的广播数据报文对网络造成冲击。 【实验环境】 需要使用协议编辑软件进行数据包编辑并发送;IP地址分配参考如下表所示。 设备IP地址Mac地址后缀 HostA 10.28.23.112 44-37-e6-10-77-81 HostB 10.28.23.168 28-92-4a-56-15-c2 设备连接即两台个人电脑。
【实验内容】 搭建网络实现ARP地址欺骗过程 防范ARP地址欺骗 【实验步骤】 一、设定环境(在实验中应根据具体实验环境进行实验) (1)根据环境拓扑图设定网络环境,并测试连通性。 (2)需要使用协议编辑软件进行数据包编辑并发送。 二、主机欺骗 (1)获得设定网络中各主机的IP地址和MAC地址,Ping网关。如图2-1、图 2-2 图2-1 图2-2
arp欺骗原理及处理办法
故障原因 主要原因是在局域网中有人使用了ARP欺骗的木马程序,比如一些盗号的软件。 传奇外挂携带的ARP木马攻击,当局域网内使用外挂时,外挂携带的病毒会将该机器的MAC 地址映射到网关的IP地址上,向局域网内大量发送ARP包,致同一网段地址内的其它机器误将其作为网关,掉线时内网是互通的,计算机却不能上网。方法是在能上网时,进入MS-DOS窗口,输入命令:arp –a查看网关IP对应的正确MAC地址,将其记录,如果已不能上网,则先运行一次命令arp –d将arp缓存中的内容删空,计算机可暂时恢复上网,一旦能上网就立即将网络断掉,禁用网卡或拔掉网线,再运行arp –a。 如已有网关的正确MAC地址,在不能上网时,手工将网关IP和正确MAC绑定,可确保计算机不再被攻击影响。可在MS-DOS窗口下运行以下命令:arp –s 网关IP 网关MAC。如被攻击,用该命令查看,会发现该MAC已经被替换成攻击机器的MAC,将该MAC记录,以备查找。找出病毒计算机:如果已有病毒计算机的MAC地址,可使用NBTSCAN软件找出网段内与该MAC地址对应的IP,即病毒计算机的IP地址。 故障现象 当局域网内有某台电脑运行了此类ARP欺骗的木马的时候,其他用户原来直接通过路由器上网现在转由通过病毒主机上网,切换的时候用户会断一次线。 切换到病毒主机上网后,如果用户已经登陆了传奇服务器,那么病毒主机就会经常伪造断线的假像,那么用户就得重新登录传奇服务器,这样病毒主机就可以盗号了。 由于ARP欺骗的木马发作的时候会发出大量的数据包导致局域网通讯拥塞,用户会感觉上网速度越来越慢。当木马程序停止运行时,用户会恢复从路由器上网,切换中用户会再断一次线。 该机一开机上网就不断发Arp欺骗报文,即以假冒的网卡物理地址向同一子网的其它机器发送Arp报文,甚至假冒该子网网关物理地址蒙骗其它机器,使网内其它机器改经该病毒主机上网,这个由真网关向假网关切换的过程中其它机器会断一次网。倘若该病毒机器突然关机或离线,则其它机器又要重新搜索真网关,于是又会断一次网。所以会造成某一子网只要有一台或一台以上这样的病毒机器,就会使其他人上网断断续续,严重时将使整个网络瘫痪。这种病毒(木马)除了影响他人上网外,也以窃取病毒机器和同一子网内其它机器上的用户帐号和密码(如QQ和网络游戏等的帐号和密码)为目的,而且它发的是Arp报文,具有一定的隐秘性,如果占系统资源不是很大,又无防病毒软件监控,一般用户不易察觉。这种病毒开学初主要发生在学生宿舍,据最近调查,现在已经在向办公区域和教工住宅区域蔓延,而且呈越演越烈之势。 经抽样测试,学校提供的赛门铁克防病毒软件企业版10.0能有效查杀已知的Arp欺骗病毒(木马)病毒。恶意软件由于国际上未有明确界定,目前暂无一款防病毒软件能提供100%杜绝其发作的解决方案,需要借助某些辅助工具进行清理。 解决思路 不要把你的网络安全信任关系建立在IP基础上或MAC基础上。 设置静态的MAC-->IP对应表,不要让主机刷新你设定好的转换表。
实验三:ARP欺骗工具及原理分析
实验三:ARP欺骗工具及原理分析 一、实验目的 1.熟悉ARP欺骗攻击工具的使用 2.熟悉ARP欺骗防范工具的使用 3.熟悉ARP欺骗攻击的原理 二、实验准备 1.要求实验室内网络是连通的,组内每台计算机均可以访问另外一台计算机。 2.下载相关工具和软件包(ARP攻击检测工具,局域网终结者,网络执法官,ARPsniffer 嗅探工具)。 三、实验说明 本实验所介绍的工具软件使用起来都比较方便,操作起来也不是很难,但是功能或指令却不止一种,所以实验中只介绍其中的某一种用法。其他的则可"触类旁通"。 四、实验涉及到的相关软件下载: ARP攻击检测工具 局域网终结者 网络执法官 ARPsniffer嗅探工具 五、实验原理 1、ARP及ARP欺骗原理: ARP(Address Resolution Protocol)即地址解析协议,是一种将IP地址转化成物理地址的协议。不管网络层使用什么协议,在网络链路上传送数据帧时,最终还是必须使用硬件地址的。而每台机器的MAC地址都是不一样的,具有全球唯一性,因此可以作为一台主机或网络设备的标识。目标主机的MAC地址就是通过ARP协议获得的。 ARP欺骗原理则是通过发送欺骗性的ARP数据包致使接收者收到数据包后更新其ARP 缓存表,从而建立错误的IP与MAC对应关系,源主机发送数据时数据便不能被正确地址接收。 2、ARPsniffer使用原理: 在使用该工具时,它会将网络接口设置为混杂模式,该模式下工具可以监听到网络中传输的所有数据帧,而不管数据帧的目的地是自己还是其他网络接口的地址。嗅探器会对探测到的每一个数据帧产生硬件数据中断,交由操作系统处理,这样就实现了数据截获。 3、局域网终结者使用原理: 一个主机接收到与自已相同IP发出的ARP请求就会弹出一个IP冲突框来。利用局域网终结者可以伪造任一台主机的IP向局域网不停地发送ARP请求,同时自已的MAC也是伪造的,那么被伪造IP的主机便会不停地收到IP冲突提示,致使该主机无法上网。这便构成了局域网终结者的攻击原理。 4、网络执法官使用原理: 网络执法官原理是通过ARP欺骗发给某台电脑有关假的网关IP地址所对应的MAC地
网络安全实验2 ARP欺骗实验
实验1 ARP地址欺骗 声明:本实验教程仅限于实验室教学和实验用,不能用于其他非法用途,否则后果自负。 1、实验目的 1、掌握常见ARP欺骗类型和手段 2、掌握ARP协议工作原理和格式 3、掌握防范ARP地址欺骗的方法和措施 4、掌握Sniffer Pro软件的使用 2、实验环境 硬件:交换机1台、路由器1台、计算机数台 软件:Sinfffer pro
Heinaen和Govindan RFC1735 对上进行了进一步的讨论 W.Richard Stenvens TCP/IP协议详解卷1:协议 [日]村上公保TCP/IP网络实验程序篇科学出版社 4、实验原理 数据封装过程 1)、ARP协议简介 ARP(Address Resolve Protocol)地址请求解析协议,用于寻找和IP地址相对应的MAC 地址。在RFC 826中定义了ARP协议的数据格式和类型。ARP协议属于在网络层的下部,可看作为网络层和数据链路层的接口,主要用于IPv4以太网。 ARP消息类型有2种: ARP request :ARP 请求 ARP response :ARP应答 ARP协议格式
ARP报文格式 以太网帧的格式:
ü源MAC地址:发送方的MAC地址 ü源IP地址:发送方的IP地址 ü目的MAC地址:ARP请求中该字段没有意义;ARP响应中为接收方的MAC地址 ü目的IP地址:ARP请求中为请求解析的IP地址;ARP响应中为接收方的IP地址 ARP协议的改进 高速缓存技术 高速缓冲区中ARP表项新鲜性的保持:计时器 目的主机接收到ARP请求后将源主机的IP地址与物理地址映射关 系存入自己的高速缓冲区 主机启动时主动广播自己的IP地址与物理地址的映射关系 5、实验步骤 1)掌握常用的ARP常用命令 ARP命令: 功能:用于查看、添加和删除高速缓存区中的ARP表项 高速缓冲区中的ARP表项 表项添加后两分钟内没有被再次使用:删除 表项被再次使用:增加2分钟的生命周期
最全的ARP欺骗攻击原理深入分析
1、ARP协议概述 IP数据包常通过以太网发送。以太网设备并不识别32位IP地址:它们是以48位以太网地址传输以太网数据包的。因此,IP驱动器必须把IP目的地址转换成以太网网目的地址。在这两种地址之间存在着某种静态的或算法的映射,常常需要查看一张表。地址解析协议(Address Resolution Protocol,ARP)就是用来确定这些映象的协议。 ARP工作时,送出一个含有所希望的IP地址的以太网广播数据包。目的地主机,或另一个代表该主机的系统,以一个含有IP和以太网地址对的数据包作为应答。发送者将这个地址对高速缓存起来,以节约不必要的ARP通信。 如果有一个不被信任的节点对本地网络具有写访问许可权,那么也会有某种风险。这样一台机器可以发布虚假的ARP报文并将所有通信都转向它自己,然后它就可以扮演某些机器,或者顺便对数据流进行简单的修改。ARP机制常常是自动起作用的。在特别安全的网络上,ARP映射可以用固件,并且具有自动抑制协议达到防止干扰的目的。 图1是一个用作IP到以太网地址转换的ARP报文的例子。在图中每一行为32位,也就是4个八位组表示,在以后的图中,我们也将遵循这一方式。 硬件类型字段指明了发送方想知道的硬件接口类型,以太网的值为1。协议类型字段指明了发送方提供的高层协议类型,IP为0806(16进制)。硬件地址长度和协议长度指明了硬件地址和高层协议地址的长度,这样ARP报文就可以在任意硬件和任意协议的网络中使用。操作字段用来表示这个报文的目的,ARP请求为1,ARP响应为2,RARP请求为3,RARP响应为4。 当发出ARP请求时,发送方填好发送方首部和发送方IP地址,还要填写目标IP地址。当目标机器收到这个ARP广播包时,就会在响应报文中填上自己的48位主机地址。
解决ARP欺骗和攻击的方法
什么是网络瓶颈?如何克服网络瓶颈对网络整体性能的影响? 网络瓶颈指的是影响网络传输性能及稳定性的一些相关因素,如网络拓扑结构,网线,网卡,服务器配置,网络连接设备等,下面我们逐一加以简单分析: 1.组网前选择适当的网络拓扑结构是网络性能的重要保障,这里有两个原则应该把握:一是应把性能较高的设备放在数据交换的最高层,即交换机与集线器组成的网络,应把交换机放在第一层并连接服务器,二是尽可能减少网络的级数,如四个交换机级联不要分为四级,应把一个交换机做一级,另三个同时级联在第一级做为第二级; 2.网线的做法及质量也是影响网络性能的重要因素,对于100M设备(包括交换机,集线器和网卡),要充分发挥设备的性能,应保证网线支持100M,具体是网线应是五类以上线且质量有保障,并严格按照100M网线标准(即568B和568A)做线; 3.网卡质量不过关或芯片老化也容易引起网络传输性能下降或工作不稳定,选择知名品牌可有很好的保障; 4.对某些如无盘网络,游戏网络等对服务器的数据交换频繁且大量的网络环境,服务器的硬件配置(主要是CPU处理速度,内存,硬盘,网卡)往往成为影响网络性能的最大瓶颈,提升网络性能须从此入手; 5.选择适当的网络连接设备(交换机和集线器)同样也是网络性能的重要保障,除选择知名品牌外,网络扩充导致性能下降时应考虑设备升级的必要性。 解决ARP欺骗和攻击的方法 在局域网中,通信前必须通过ARP协议来完成IP地址转换为第二层物理地址(即MAC地址)。ARP协议对网络安全具有重要的意义。通过伪造IP地址和MAC地址实现ARP欺骗,对网络的正常传输和安全都是一个很严峻的考验。 “又掉线了!!!”每当听到客户的抱怨声一片响起,网管员就坐立不安。其实,此起彼伏的瞬间掉线或大面积的断网大都是ARP欺骗在作怪。ARP欺骗攻击已经成了破坏网吧经营的罪魁祸首,是网吧老板和网管员的心腹大患。
ARP欺骗原理与解决办法
ARP欺骗原理与解决办法 2009-03-26 18:18 【故障原理】 要了解故障原理,我们先来了解一下ARP协议。 在局域网中,通过ARP协议来完成IP地址转换为第二层物理地址(即MAC地址)的。ARP 协议对网络安全具有重要的意义。通过伪造IP地址和MAC地址实现ARP欺骗,能够在网络中产生大量的ARP通信量使网络阻塞。 ARP协议是“Address Resolution Protocol”(地址解析协议)的缩写。在局域网中,网络中实际传输的是“帧”,帧里面是有目标主机的MAC地址的。在以太网中,一个主机要和另一个主机进行直接通信,必须要知道目标主机的MAC地址。但这个目标MAC地址是如何获得的呢?它就是通过地址解析协议获得的。所谓“地址解析”就是主机在发送帧前将目标IP地址转换成目标MAC地址的过程。ARP协议的基本功能就是通过目标设备的IP地址,查询目标设备的MAC地址,以保证通信的顺利进行。 每台安装有TCP/IP协议的电脑里都有一个ARP缓存表,表里的IP地址与MAC地址是一一对应的,如下所示。 主机IP地址MAC地址 A 192.168.16.1 aa-aa-aa-aa-aa-aa B 192.168.16.2 bb-bb-bb-bb-bb-bb C 192.168.16.3 cc-cc-cc-cc-cc-cc D 192.168.16.4 dd-dd-dd-dd-dd-dd 我们以主机A(192.168.16.1)向主机B(192.168.16.2)发送数据为例。当发送数据时,主机A会在自己的ARP缓存表中寻找是否有目标IP地址。如果找到了,也就知道了目标MAC地址,直接把目标MAC地址写入帧里面发送就可以了;如果在ARP缓存表中没有找到相对应的IP地址,主机A就会在网络上发送一个广播,目标MAC地址是“FF.FF.FF.FF.FF.FF”,这表示向同一网段内的所有主机发出这样的询问:“192.168.16.2的MAC地址是什么?”网络上其他主机并不响应ARP询问,只有主机B接收到这个帧时,才向主机A做出这样的回应:“192.168.16.2的MAC地址是bb-bb-bb-bb-bb-bb”。这样,主机A就知道了主机B的MAC地址,它就可以向主机B发送信息了。同时它还更新了自己的ARP缓存表,下次再向主机B 发送信息时,直接从ARP缓存表里查找就可以了。ARP缓存表采用了老化机制,在一段时间内如果表中的某一行没有使用,就会被删除,这样可以大大减少ARP缓存表的长度,加快查询速度。 从上面可以看出,ARP协议的基础就是信任局域网内所有的人,那么就很容易实现在以太网上的ARP欺骗。对目标A进行欺骗,A去Ping主机C却发送到了DD-DD-DD-DD-DD-DD 这个地址上。如果进行欺骗的时候,把C的MAC地址骗为DD-DD-DD-DD-DD-DD,于是A 发送到C上的数据包都变成发送给D的了。这不正好是D能够接收到A发送的数据包了么,
计算机网络安全实验arp欺骗
《计算机网络安全》实验报告实验名称: arp欺骗 提交报告时间:年月日
一、实验目的 程序实现ARP欺骗,对ARP欺骗进行进一步的认识并提出防范措施。 二、系统环境 主机1 windows系统 主机2 windows系统
主机3 linux操作系统 三、网络环境 同一网段下的网络 四、实验步骤与实验结果 将主机A、C、E为一组,B、D、F为一组。实验角色说明如下: 实验主机实验角色 主机A、B 目标主机一/Windows 主机C、D 黑客主机/Linux 主机E、F 目标主机二/Windows 首先使用“快照X”恢复Windows/Linux系统环境。 一.ARP欺骗攻击 实验需求: (1)本实验使用交换网络结构(参见附录B),组一、二和三间通过交换模块连接(主机A、C、E通过交换模块连接,主机B、D、F也通过交换模块连接)。因此,正常情况下,主机C无法以嗅探方式监听到主机A与主机E间通信数据,同样主机D也无法监听到主机B与主机F 间的通信数据。 (2)主机C要监听主机A和主机E间的通信数据;主机D要监听主机B与主机F间的通信数据。 分析:
黑客主机通过对目标主机进行ARP欺骗攻击,获取目标主机间的通信数据。 1.正常通信 图6-1-1 目标主机正常通信示意图 (1)目标主机二单击工具栏“UDP工具”按钮,启动UDP连接工具,创建2513/udp服务端。 主机1发送数据 (2)目标主机一启动UDP连接工具,将“目标机器”IP地址指定为目标主机二的地址,目标端口与服务器一致。在“数据”文本框中输入任意内容,单击“发送”按钮,向服务端发数据。服务端确定接收到数据。
ARP地址欺骗实验报告
计算机科学与技术系 实验报告 专业名称网络工程 课程名称 TCP/IP协议 项目名称 ARP地址欺骗 班级 13网络工程2班 学号 1304032025 姓名王梦梦(E) 同组人员张奔、肖治才、张嫚嫚、杨中成、杨维维 实验日期 2015/12.7
一、实验目的与要求: (简述本次实验要求达到的目的,涉及到的相关知识点,实验的具体要求及实验环境,实验环境中标明源主机、目的主机的IP地址及MAC地址) 1、实验目的 理解ARP协议的原理,掌握ARP地址欺骗的方法。 2、实验环境(标明拓扑结构、源主机、目的主机的IP地址及MAC地址) 发给A的包:数据链路层:源主机MAC:D 目的主机MAC:A ARP报头格式:源主机IP:C 目的主机IP:A 源主机MAC:D 目的主机MAC:000000-000000 发给C的包:数据链路层:源主机MAC:D 目的主机MAC:C ARP报头格式:源主机IP:A 目的主机IP:C 源主机MAC:D 目的主机MAC:000000-000000 二、实验内容 (根据本次实验项目的具体任务和要求,完成相关内容,可包括:实验原理、实验流程概述、实验具体步骤、关键技术分析、实验过程。) 1、实验原理 ARP协议是用来已知IP地址求MAC地址。在每台主机中都有一张ARP地址缓存表,当有ARP请求时,它不但会应答,还会将请求报文中ARP层的源IP和源MAC与本地缓存进行对比,若不一致,则更新。 2、实验流程概述 1)编辑ARP报文中的相关字段值 2)持续发送报文 3)各主机检查本地地ARP地址缓存表,观察D发包前后ARP缓存表的变化。 3、实验具体步骤 各主机打开工具区的“拓扑验证工具”,选择相应的网络结构,配置网卡后,进行拓扑验证,如果通过拓扑验证,关闭工具继续进行实验,如果没有通过,请检查网络连接。 本练习将主机A、C和D作为一组,主机B、E和F作为一组。现仅以主机A、C、D所在组为例,其它组的操作参考主机A、C、D所在组的操作。 1. 主机A和主机C使用“arp -a”命令察看并记录ARP高速缓存。 2. 主机A、C启动协议分析器开始捕获数据并设置过滤条件(提取ARP协议和ICMP协议)。 3. 主机A ping 主机C。观察主机A、C上是捕获到的ICMP报文,记录MAC 地址。 4. 主机D启动协议编辑器向主机A编辑ARP请求报文(暂时不发送)。其中: MAC层:
arp欺骗超详细过程
(一)ARP工作原理、ARP攻击分析叙述: 随着网络设备在接入市场的应用也越来越多;同时遇到的问题也越来越多样,其中最让人头疼的就是ARP 的问题。 众所周知,ARP的基本功能就是在以太网环境中,通过目标设备的IP地址,查询目标设备的MAC地址,以保证通信的顺利进行。但由于ARP的广播、动态学习等特性注定了它不是一种安全的协议,所以在实际应用中,会由于各种各样的原因使ARP学习失败,从而影响网络的互通性,并进而影响用户的业务稳定运行。由于ARP处于数据链路层,处于整个OSI开放式七层模型的倒数第二层,所以除了HUB等极少数的、几乎所有跟以太网接口有关的设备,都涉及到ARP处理的问题。如果ARP问题处理不好,带来的影响也是非常巨大的。 在整个internet网络体系中,网络设备主要分为两类:一类就是安装有各种操作系统平台的PC、服务器等host;而另外一类就是负责网络互联的路由器、交换机、防火墙等数据通讯设备。这些设备由于自身所处的网络位置的不同、安全稳定程度的不同、服务的不同,在ARP机制的处理上也不尽相同,当然本文不是要全面阐述ARP的原理和实现,只是希望能够说明并解决或规避在我们的应用环境中出现的问题――我们考虑的范围是Win2K/XP主机和路由器、交换机。 1 ARP基础知识 一般的,正常的ARP过程只需ARP Request和ARP Response两个过程,简单的说就是一问一答,如下: 这记录了局域网内一台IP为192.168.19.180的PC与网关设备(IP为192.168.1.6)之间的ARP交互,该PC发送请求之后,在0.000434秒之后,网关设备做出了回应,此时路由器就学习到了对方的ARP信息:如下: 我们关注的是ARP的过程,而不是结果;来看一下ARP Request: 从[Ethernet Header]可以看出,ARP请求的目标地址是全F,也就是广播地址;因为在请求之前,本PC 不知道对方的MAC地址,为了确保ARP Request能够让对方收到,以广播形式方式是很自然的选择。在[ARP]
实验11arp欺骗
欺骗攻击 欺骗攻击是一种比较特殊的攻击方式,它不以获取目标主机的权限为目的,而往往是希望能够假扮目标主机的角色,从而可以窃取其他客户端发送给目标主机的信息。欺骗攻击的方式有很多种,包括社交工程、IP欺骗、DNS欺骗、电子邮件欺骗、WEB欺骗以及最流行的ARP欺骗等等。这些方式的不同,相应的攻击所应用的技术及采用的策略也都不尽相同,但我们要认识到它的本质并没有不同,攻击的最终目的就是伪造和欺骗。本章以ARP欺骗为例来阐述它的工作原理及具体应用。 ARP欺骗 11.1.1 背景描述 ARP欺骗是一类地址欺骗类病毒,属于木马病毒,自身不具备主动传播的特性,不会自我复制。但是由于其发作的时候会不断向全网发送伪造的ARP数据包,导致网络无法正常运行,严重的甚至可能带来整个网络的瘫痪。此外,此外黑客还会通过这种攻击手段窃取用户密码,如盗取QQ密码、盗取各种网络游戏密码和账号、盗窃网上银行账号,给用户造成了很大的不便和巨大的经济损失。因此,它的危害比一些蠕虫病毒来要厉害。 电脑感染ARP病毒后的表现为:网速时快时慢,极其不稳定,局域网内频繁性区域或整体掉线,重启计算机或网络设备后恢复正常;网上银行、游戏及QQ账号的频繁丢失。随着加密技术的不断提高,ARP病毒在盗取用户帐号、密码时遇到了很大的难度。于时又出现了一类新的ARP病毒,该类ARP病毒保留了ARP病毒的基本功能,即向全网发送伪造的ARP 欺骗广播,将自身伪装成网关。在此基础上,对用户发出的HTTP请求访问进行修改,在其中插入恶意网址链接,用户在不知情的情况下点击这些链接时,木马病毒就会利用系统漏洞种植到用户电脑中,从而使用户电脑感染病毒。
arp欺骗的原理详细讲解.
arp欺骗的原理详细讲解(整理修改自网络)2010-04-20 16:55arp欺骗的原理其实就是使电脑无法找到网关的MAC地址。首先我们要了解什么是ARP,ARP (Address Resolution Protocol)是地址解析协议,是一种将IP地址转化成物理地址的协议。从IP地址到物理地址的映射有两种方式:表格方式和非表格方式。 ARP 具体说来就是将网络层(IP层,也就是相当于OSI的第三层)地址解析为数据链路层(MAC层,也就是相当于OSI的第二层)的MAC地址。 ARP原理:某机器A要向主机B发送报文,会查询本地的ARP缓存表,找到B的IP地址对应的MAC地址后,就会进行数据传输。如果未找到,则广播A一个ARP请求报文(携带主机A的IP地址Ia——物理地址Pa),请求IP地址为Ib的主机B回答物理地址Pb。网上所有主机包括B都收到ARP请求,但只有主机B识别自己的IP 地址,于是向A主机发回一个ARP响应报文。其中就包含有B的MAC地址,A 接收到B的应答后,就会更新本地的ARP缓存。接着使用这个MAC地址发送数据(由网卡附加MAC地址)。因此,本地高速缓存的这个ARP表是本地网络流通的基础,而且这个缓存是动态的。 ARP协议并不只在发送了ARP请求才接收ARP应答。当计算机接收到ARP应答数据包的时候,就会对本地的ARP缓存进行更新,将应答中的IP和MAC地址存储在ARP缓存中。因此,当局域网中的某台机器B向A发送一个自己伪造的ARP应答,而如果这个应答是B冒充C伪造来的,即IP地址为C的IP,而MAC地址是伪造的,则当A接收到B伪造的ARP 应答后,就会更新本地的ARP缓存,这样在A看来C的IP地址没有变,而它的MAC地址已经不是原来那个了。由于局域网的网络流通不是根据IP地址进行,而是按照MAC地址进行传输。所以,那个伪造出来的MAC地址在A上被改变成一个不存在的MAC地址,这样就会造成网络不通,导致A不能Ping通C!这就是一个简单的ARP欺骗。 p2p终结者就是一个使用arp欺骗来达到控制网络的目的。防范arp欺骗的方法: 1. 使用VLAN 只要你的PC和P2P终结者软件不在同一个VLAN里, 他就拿你没办法. 2. 使用双向IP/MAC绑定在PC上绑定你的出口路由器的MAC地址, P2P终结者软件不能对你进行ARP欺骗, 自然也没法管你, 不过只是PC绑路由的MAC 还不安全, 因为P2P终结者软件可以欺骗路由, 所以最好的解决办法是使用PC, 路由上双向IP/MAC绑定, 就是说, 在PC 上绑定出路路由的
ARP欺骗与防御手段
ARP欺骗与防御手段神州数码网络公司
目录 1. ARP欺骗 (3) 1.1. ARP协议工作原理 (3) 1.2. ARP协议的缺陷 (3) 1.3. ARP协议报文格式 (4) 1.4. ARP攻击的种类 (5) 1.4.1. ARP网关欺骗 (5) 1.4.2. ARP主机欺骗 (6) 1.4.3. 网段扫描 (8)
1.ARP欺骗 在与用户的沟通过程中,感觉到用户的网络管理人员最头痛也是频繁出现的问题就是ARP的病毒攻击问题。在一个没有防御的网络当中暴发的ARP病毒带来的影响是非常严重的,会造成网络丢包、不能访问网关、IP地址冲突等等。多台设备短时间内发送大量ARP 报文还会引起设备的CPU利用率上升,严重时可能会引起核心设备的宕机。 如何解决ARP攻击的问题呢?首先要从ARP攻击的原理开始分析。 1.1. ARP协议工作原理 在TCP/IP协议中,每一个网络结点是用IP地址标识的,IP地址是一个逻辑地址。而在以太网中数据包是靠48位MAC地址(物理地址)寻址的。因此,必须建立IP地址与MAC 地址之间的对应(映射)关系,ARP协议就是为完成这个工作而设计的。 TCP/IP协议栈维护着一个ARP cache表,在构造网络数据包时,首先从ARP表中找目标IP对应的MAC地址,如果找不到,就发一个ARP request广播包,请求具有该IP地址的主机报告它的MAC地址,当收到目标IP所有者的ARP reply后,更新ARP cache。ARP cache有老化机制。 1.2. ARP协议的缺陷 ARP协议是建立在信任局域网内所有结点的基础上的,它很高效,但却不安全。它是无状态的协议,不会检查自己是否发过请求包,也不管(其实也不知道)是否是合法的应答,只要收到目标MAC是自己的ARP reply包或arp广播包(包括ARP request和ARP reply),都会接受并缓存。这就为ARP欺骗提供了可能,恶意节点可以发布虚假的ARP报文从而影响网内结点的通信,甚至可以做“中间人”。
zxARPs局域网ARP欺骗挂马方式详细讲解(图文)
zxARPs局域网ARP欺骗挂马方式详细讲解(图文) 一种新的挂马方式开始流行——局域网ARP欺骗挂马,只要局域网内一台机子中招了,它就可以在内网传播含有木马的网页,捕获的肉鸡就会成几何增长。 局域网ARP欺骗挂马的好处如下:无需入侵网站,只要你的主机处于局域网中即可,这是它最大的优点;收获的肉鸡多多,短时间内可以收获数十台甚至上百台肉鸡,类似网吧这样由上百台电脑组成的局域网是最好的挂马场所;局域网内的用户访问任何网站都会中我们的木马。看了上面的介绍,各位是不是已经蠢蠢欲动了? 第一步:配置木马服务端第七城市 我们以“黑洞”木马为例。运行“黑洞”木马的Client.exe文件,进入Client.exe的主界面后,点击“文件→创建DLL插入版本服务端程序”。 进入服务端程序的创建界面后,首先勾选“Win NT/2000/XP/2003下隐藏服务端文件、注册表、进程和服务”,然后切换到“连接选项”标签,在“主机”一栏中填入本机的公网IP地址,端口可以保持默认的“2007”。最后在“连接密码”处填入用来连接对方的密码,例如123456(图1)。设置完成后点击“生成”按钮,将木马服务端保存为muma.exe。 填写密码第七城市 第二步:生成网页木马
既然是挂马,那当然缺不了网页木马了。这里我们用“MS07-33网马生成器”为例。运行“MS07-33网马生成器”,在“网马地址”文本框中输入木马所在路径,我们以国内著名的双人小游戏网站(https://www.360docs.net/doc/4614900358.html,为例),所以这里应该填入“https://www.360docs.net/doc/4614900358.html,/muma.exe“,其中192.168.0.2是本机在局域网中的IP地址。点击“生成网马”按钮即可生成网马hackll.htm(图2)。 点击“生成网马” 第三步:局域网挂马 最后该请我们的主角出场了,就是上文中提到的小工具,这个工具叫zxARPs,是一个通过ARP欺骗实现局域网挂马的工具。在使用zxARPs前我们要安装WinPcap,它是网络底层驱动包,没有它zxARPs就运行不了。第七城市 安装好后将zxARPs放到任意目录,然后运行“命令提示符”,进入zxARPs所在的目录,然后输入命令:zxARPs.exe -idx 0 -ip 192.168.0.1-192.168.0.255 -port 80 -insert " 从现在开始,局域网中的用户无论访问什么网站,都会运行我们的网页木马,因为zxARPs 在用户打开网页的同时已经将挂马代码插入到正常网页中了。 ARP挂马防范技巧 从上文可见zxARPs的功能真的十分强大,但它毕竟是基于ARP欺骗原理的,只要局域网内的主机能够抵御ARP欺骗攻击,就可以完全无视zxARPs的挂马方法。 网管将局域网内所有的主机的IP地址和MAC地址进行绑定即可搞定。我们也可以下载“360ARP防火墙”来抵御ARP欺骗攻击,安装完成后点击界面上的“开启”按钮就可以让它保
Arp欺骗报告
网络安全课程设计 ——ARP病毒的分析与防御 班级:网络081班 学号:0807100334 姓名:王毅 指导老师:葛志辉 完成时间:2011.10.15
目录 1.实验要求--------------------------------------------------------3 2.实验原理--------------------------------------------------------3 3.实验步骤--------------------------------------------------------5 4.构造ARP数据包-----------------------------------------------9 5.实验结果与分析----------------------------------------------12 6.防范措施-------------------------------------------------------14 7.实验总结-------------------------------------------------------17
一、实验要求 能够深入分析ARP病毒的原理,能够利用winpcap、libnet构造网络数据包,实现ARP病毒,并结合抓包工具设计ARP病毒的防范方案。 二、实验原理 1、A RP工作原理 每台主机都会根据以往在网络中与其他节点的通信,在自己的ARP缓存区(ARP Cache)中建立一个ARP列表,以表示网络中节点IP地址和MAC地址的对应关系。当源节点需要将一个数据包发送到目标节点时,会首先检查自己ARP列表中是否存在该包中所包含的目标节点IP地址对应的MAC地址。如果有,则直接将数据包发送到这个MAC地址节点上;如果没有,就向本地网段发起一个ARP请求的广播包,查询此IP地址目标节点对应的MAC地址。此ARP请求数据包里包括源节点的IP地址、硬件地址,以及目标节点的IP地址。网络中所有的节点在收到这个ARP请求后,会检查数据包中的目标IP地址是否和自己的IP地址一致。如果不相同就忽略此数据包;如果相同,该节点首先将源端的MAC地址和IP地址的对应表项添加到自己的ARP列表中。如果发现ARP表中已经存在该IP地址所对应的MAC地址表项信息,则将其覆盖,然后给源节点发送一个ARP响应数据包,告诉对方自己是它需要查找的MAC地址节点。源节点在收到这个ARP响应数据包后,将得到的目标节点的IP地址和MAC地址对应表项添加到自己的ARP列表中,并利用此信息开始数据的传输。如果源节点一直没有收到ARP响应数据包,则表示ARP查询失败。 ARP攻击原理: ARP攻击就是通过伪造IP地址和MAC地址的映射实现ARP欺骗,能够在网络中产生大量的ARP通信量使网络阻塞,攻击者只要持续不断的发出伪造的ARP响应包就能更改目标主机ARP缓存中的IP-MAC条目,造成网络中断或中间人攻击。 2 、ARP欺骗的方式 (1)中间人攻击 这种攻击是网络监听的一种方式。攻击者进入两台通信的计算机之间,通过某种手段窃取一台机器给另一台机器发送的数据包,然后将数包修改再转发给另一台机器,攻击者对这两台计算机来说是透明的。具体过程如下。 假设三台计算机A、B、C。机器C修改A的ARP缓存表,将表中B的IP地址对应
论述ARP欺骗产生的原因
目录 摘要 (2) 论述ARP欺骗产生的原因 (2) 一、ARP的工作机制 (2) 二、ARP的协议格式 (3) 三、ARP欺骗产生的原因 (5) 四、防范ARP欺骗的技术 (6) 总结 (7) 参考文献 (7)
摘要 网络的迅速发展,在给人类生活带来方便的同时,也对网络安全提出了更高的要求。网络协议安全是网络安全的重要环节,因此对网络协议的分析和利用越来越受到特别关注。互联网的发展很大程度上归功于TCP/IP协议运行的高效性和开放性,然而TCP/IP协议在实现过程中忽略了对网络安全方面的考虑,致使其存在着较多的安全隐患。ARP协议是TCP/IP协议中重要的一员,其功能主要是为局域网内网络设备提供IP地址向硬件地址的转化,其设计建立在局域网内网络设备之间相互信任的基础上,由此产生了许多ARP欺骗攻击方法。许多木马和病毒利用ARP协议这一设计上的漏洞在局域网内进行ARP欺骗攻击,给局域网的安全造成了严重威胁。为解决ARP欺骗给局域网带来的安全问题,目前已有许多学者在这方面做了有意义的探索与实践,尽管某些方案在实际项目的应用中已相对成熟,但在防御能力上仍存在着一定的局限性。本文针对ARP的工作机制和ARP的协议格式来论述ARP欺骗产生的原因和介绍常见的ARP欺骗以及现有防御ARP欺骗的方法。 论述ARP欺骗产生的原因 一、ARP的工作机制 在数据链路层上识别主机的依据是物理地址,要想在两台主机之间传输数据就必须知道
对方的物理地址,对于以太网来说,就是以太网网卡的物理地址。而在网络层及以上的数据通信使用的主机的IP地址,所以当数据由高层协议到达数据链路层时,就需要将IP地址转化为物理地址。这个转化的过程实际上就是地址映射。地址解析协议(Address Resolution Protocol,ARP)就是为这两种不同的地址形式提供映射,负责完成在IP地址及数据链路层地址之间的映射。如图1.1 图1.1 ARP实现的过程 二、ARP的协议格式 ARP报文由一个帧的数据部分所携带,如图1.2所示。下面分别简述ARP分组中的各个字段的有关内容: ⑴以太网报头中的前两个字段是以太网的目的地址和源地址。目的地址为全1的特殊地址
ARP欺骗的发现和处理
检查是否有服务器对网关地址欺骗的方式: 1,在ARP表所在的交换机上检查日志(大二层网络为45,小二层为35),以沙河堡小二层为例。登陆3550交换机,用show log命令查看日志: 如出现上面这样的记录,网关地址被冒用了,因为网管地址交换机默认是在VLAN10里面,这里提示125.64.16.1地址出现在VLAN20,交换机认为异常,所以记录了网管异常时所在MAC地址。 2,复制此地址。用show mac-address-table address 后面跟mac地址的命令查找该MAC 所在位置(命令可以简写为:sh mac-ad ad ): 上图的结果说明该MAC地址出现在了该35交换机的11口。 3,登陆到11口下联的29交换机,用sh mac-ad ad命令同样可以查找到该MAC地址在29上面的具体端口,从而可以判断到具体是某台服务器。 4,通知客户后,可以选择直接在交换机端口上shut,可以选择拔服务器端的网线。一般情况下这样操作后网络可以回复正常,但是也经常出现网络仍然不通或掉包严重,那么就需要回到2台35交换机上,进入EN模式将清空ARP缓存。命令为:clear arp-cache (可简写成cle ar)。这里需要注意的是,该命令严重增加交换机负担,在操作一次后,一段时间内不能再次使用此命令,否则交换机有卡死的可能。 备注:除了down端口和清ARP缓存以外,判断MAC位置的操作和查看日志的操作均可以不用EN权限。 另外,有很多ARP攻击是针对部分IP而不是针对网关,这样的情况就需要在35上查看ARP 表,命令:show arp,从各个IP对应的MAC地址上面查看是否存在同一MAC对应多个IP的情况,如果有,需要判断是否该客户采用单机多IP的技术,如果不是那么就可以确认该IP在进行ARP欺骗,查找和处理步骤同上。
ARP欺骗的原理与模拟
ARP欺骗原理与模拟 本文只是协议学习中的心得,所示范的试验方法仅用作学习的目的,请大家不要恶意使用 一什么是ARP协议? ARP协议是“Address Resolution Protocol”(地址解析协议)的缩写。在局域网中,网络中实际传输的是“帧”,帧里面是有目标主机的MAC地址的。在以太网中,一个主机要和另一个主机进行直接通信,必须要知道目标主机的MAC地址。但这个目标MAC地址是如何获得的呢?它就是通过地址解析协议获得的。所谓“地址解析”就是主机在发送帧前将目标IP地址转换成目标MAC地址的过程。ARP协议的基本功能就是通过目标设备的IP地址,查询目标设备的MAC地址,以保证通信的顺利进行。所以说从某种意义上讲A RP协议是工作在更低于IP协议的协议层。这也是为什么ARP欺骗更能够让人在神不知鬼不觉的情况下出现网络故障,他的危害更加隐蔽。 二 ARP欺骗的原理: 首先我们可以肯定一点的就是发送ARP欺骗包是通过一个恶毒的程序自动发送的,正常的TCP/IP网络是不会有这样的错误包发送的,而人工发送又比较麻烦。也就是说当黑客没有运行这个恶毒程序的话,网络上通信应该是一切正常的,保留在各个连接网络计算机上的ARP缓存表也应该是正确的,只有程序启动开始发送错误ARP信息以及ARP欺骗包时才会让某些计算机访问网络出现问题。接下来我们来阐述下ARP欺骗的原理。 第一步:假设这样一个网络,一个Hub或交换机连接了3台机器,依次是计算机A,B,C。 第二步:正常情况下在A计算机上运行ARP -A查询ARP缓存表应该出现如下信息。 第三步:在计算机B上运行ARP欺骗程序,来发送ARP欺骗包。 B向A发送一个自己伪造的ARP应答,而这个应答中的数据为发送方IP地址是192.168.10.3(C的IP地址),MAC地址是DD-DD-DD-DD-DD-DD(C的MAC地址本来应该是CC-CC-CC-CC-CC-CC,这里被伪造了)。当A接收到B伪造的ARP应答,就会更新本地的ARP缓存(A可不知道被伪造了)。而且A不知道其实是从B发送过来的,A这里只有192.168.10.3(C的IP地址)和无效的DD-DD-DD-DD-DD-DD mac地址。 第四步:欺骗完毕我们在A计算机上运行ARP -A来查询ARP缓存信息。你会发现原来正确的信息现在已经出现了错误。
实验一_ARP欺骗实验
实验名称___win7下实现arp欺骗_____ 日期_______________ 专业网络工程年级2011 姓名学号20111346026 【实验目的】 加深对ARP高速缓存的理解 了解ARP欺骗在网络攻击中的应用 【实验原理】 ARP欺骗是黑客常用的攻击手段之一,ARP欺骗分为二种,一种是对路由器ARP表的欺骗;另一种是对内网PC的网关欺骗。 第一种ARP欺骗的原理是——截获网关数据。它通过发送ARP应答包通知路由器一系列错误的内网MAC地址,并按照一定的频率不断进行,使真实的地址信息无法通过更新保存在路由器中,结果路由器的所有数据只能发送给错误的MAC地址,造成正常PC无法收到信息。第二种ARP欺骗的原理是——伪造网关。它的原理是建立假网关,让被它欺骗的PC向假网关发数据,而不是通过正常的路由器途径上网。在PC看来,就是上不了网了,“网络掉线了”。 ARP表是IP地址和MAC地址的映射关系表,任何实现了IP协议栈的设备,一般情况下都通过该表维护IP地址和MAC地址的对应关系,这是为了避免ARP 解析而造成的广播数据报文对网络造成冲击。 【实验环境】 需要使用协议编辑软件进行数据包编辑并发送;IP地址分配参考如下表所示。 设备IP地址Mac地址后缀 HostA 10.28.23.112 44-37-e6-10-77-81 HostB 10.28.23.168 28-92-4a-56-15-c2 设备连接即两台个人电脑。 【实验内容】 搭建网络实现ARP地址欺骗过程 防范ARP地址欺骗 【实验步骤】
一、设定环境(在实验中应根据具体实验环境进行实验) (1)根据环境拓扑图设定网络环境,并测试连通性。 (2)需要使用协议编辑软件进行数据包编辑并发送。 二、主机欺骗 (1)获得设定网络中各主机的IP地址和MAC地址,Ping网关。如图2-1、图 2-2 图2-1 图2-2 (2)在HostB IP为10.28.23.168的主机上使用arp –a命令查看网关的arp的列 表,如图3-1所示。