ARP攻击原理及解决方法与CMD命令分类
实验I ARP攻击的攻击方法、攻击原理、判断、解决和防范
实验I ARP攻击的攻、判、防ARP攻击不是病毒——几乎所有的杀毒软件对之都无可奈何;但却胜似病毒——因它轻可造成通信变慢、网络瘫痪,重会造成信息的泄密。
多年来,ARP攻击一直存在,却没有一个好的解决办法。
很多网络用户深受其害,网管人员更是无从下手、苦不堪言。
本实验从分析ARP协议和欺骗原理入手,告诉读者如何实施ARP攻击,如何判断正在遭受ARP 攻击,如何防范和解决ARP攻击。
1. ARP协议及欺骗原理(1)以太网的工作原理。
以太网中,数据包被发送出去之前,首先要进行拆分(把大的包进行分组)、封装(在Network层添加源IP地址和目标的IP地址,在Data Link层添加源MAC地址和下一跳的MAC地址),变成二进制的比特流,整个过程如图I-1所示。
数据包到达目标后再执行与发送方相反的过程,把二进制的比特流转变成帧,解封装(Data Link层首先比较目标的MAC是否与本机网卡的MAC相同或者是广播MAC,如相同则去除帧头,再把数据包传给Network层,否则丢弃;Network层比较目的地IP地址是否与本机相同,相同则继续处理,否则丢弃)。
如果发送方和接收方位于同一个网络内,则下一跳的MAC就是目标的MAC,如发送方和接收方不在同一个网络内,则下一跳的MAC就是网关的MAC。
从这个过程不难发现,以太网中数据的传速仅知道目标的IP地址是不够的,还需要知道下一跳的MAC地址,这需要借助于另外一下协议,ARP(地址解析协议)。
图I-1 数据的封装和解封装(2)ARP的工作原理。
计算机发送封装数据之前,对比目标IP地址,判断源和目标在不在同一个网段,如在同一网段,则封装目标的MAC;如不在同一网段,则封装网关的MAC。
封装之前,查看本机的ARP缓存,看有没有下一跳对应的IP和MAC映射条目,如有,则直接封装;如没有,则发送ARP查询包。
ARP查询和应答包的格式如图I-2所示,查询包中:“以太网目的地址”为0xffffffffffff广播地址,“以太网源地址”为本机网卡的MAC地址,“帧类型”为0x0806表示ARP应答或请求,“硬件类型”为0x0001表示以太网地址,“协议类型”为0x0800表示IP地址,“OP”为ARP的请求或应答,ARP请求包的OP值为1,ARP应答包的OP值为2,“发送端以太网地址”为发送者的MAC地址,“发送端IP”为发送者的IP地址,“目的以太网地址”这里为0x000000000000,“目的IP”为查询MAC地址的IP。
ARP攻击防范与解决方案
ARP攻击防范与解决方案ARP(Address Resolution Protocol)攻击是一种常见的网络攻击手段,攻击者通过伪造ARP响应包,将目标主机的IP地址与自己的MAC地址进行绑定,从而实现中间人攻击、数据篡改等恶意行为。
为了保障网络安全,我们需要了解ARP 攻击的原理和防范方法。
一、ARP攻击原理1.1 ARP攻击原理:攻击者发送伪造的ARP响应包,欺骗目标主机将攻击者的MAC地址与目标主机的IP地址进行绑定。
1.2 中间人攻击:攻击者获取目标主机的通信数据,进行篡改或窃取敏感信息。
1.3 数据劫持:攻击者截取目标主机的通信数据,对数据进行篡改或篡改。
二、ARP攻击的危害2.1 窃取敏感信息:攻击者可以窃取目标主机的敏感信息,如账号密码、银行卡信息等。
2.2 数据篡改:攻击者可以篡改目标主机的通信数据,导致数据不一致或损坏。
2.3 网络拒绝服务:攻击者可以通过ARP攻击导致网络拥堵,影响网络正常运行。
三、ARP攻击防范方法3.1 ARP缓存监控:定期监控网络设备的ARP缓存表,及时发现异常ARP绑定。
3.2 静态ARP绑定:在网络设备上设置静态ARP绑定表,限制ARP响应包的发送。
3.3 ARP防火墙:使用ARP防火墙软件,对网络中的ARP流量进行监控和过滤。
四、ARP攻击解决方案4.1 使用ARP检测工具:如ARPWatch、ArpON等工具,检测网络中的ARP 攻击行为。
4.2 网络隔离:将网络划分为多个子网,减少ARP攻击的影响范围。
4.3 加密通信:使用加密通信协议,保护通信数据的安全性。
五、总结5.1 ARP攻击是一种常见的网络攻击手段,对网络安全造成严重威胁。
5.2 了解ARP攻击的原理和危害,采取相应的防范措施是保障网络安全的重要举措。
5.3 通过监控ARP缓存、设置静态ARP绑定、使用ARP防火墙等方法,可以有效防范和解决ARP攻击。
用简单CMD命令防御ARP攻击和DNS欺骗
用简单CMD命令防御ARP攻击和DNS欺骗
点开始——运行—输入CMD确定。
好了,我们现在来看下我们的arp列表。
输入arp -a
看到我的列表,里边就一条纪录,就是我的网关的IP地址和MAC 地址
在被攻击的时候,攻击主机会发送一个ARP包,里边有真实的IP 地址和伪造的MAC地址。
如果伪造的是网关的MAC地址后果就是我们这个网内所有的机器都上不了网
做法就是我们手动绑定一个正确的MAC地址
做法,在网络正常的情况下输入arp -d清空ARP列表
我们PING下网关(注意:每个局域网的网关可能都不一样。
默认是192.168.1.1也有192.168.0.1等等)
ping通后再看下ARP表,又出来了。
这个就是真实的MAC地址。
好,现在绑定
arp -s 192.168.0.1 00-1d-0f-6f-7b-2a
但这样我们电脑在关机后就没了。
所以我们现在做个批处理并让电脑开机自动运行
新建立一个文本文件写入
arp -d
arp -s 192.168.0.1 00-1d-0f-6f-7b-2a 保存
点开始——设置——控制面板——文件夹选项,选择查看
把隐藏已知文件类型的扩展名的钩去掉
然后把刚才保存的文本文件改名叫arp.bat
然后确定
打开我的电脑——C——Documents and Settings——Administrator——开始」菜单——程序——启动。
把arp.bat复制到这里边就可以了。
C:\Documents and Settings\Administrator\「开始」菜单\程序\启动。
关于ARP攻击原理及解决
关于ARP攻击原理及解决1. 引言网络安全一直是互联网时代的热点话题,随着网络的普及和应用的广泛,网络攻击也变得日益严重。
其中,ARP攻击被认为是最常见和最具危害的攻击之一。
本文将介绍ARP攻击的原理和一些解决方法,帮助读者了解这种攻击并能够采取相应措施保护自己的网络安全。
2. ARP攻击原理ARP(Address Resolution Protocol)攻击利用了ARP协议的实现缺陷来进行攻击。
简单来说,ARP攻击本质上是通过篡改ARP缓存表中的ARP信息来实现欺骗的目的。
在正常情况下,主机A要和主机B进行通信时,会先在本地ARP缓存表中查找主机B的MAC地址。
如果没有找到,主机A将广播一个ARP请求,询问网络中是否有对应IP地址的主机,并等待主机B的回应。
主机B收到ARP请求后,会将自己的MAC地址告诉主机A,主机A收到主机B的响应后,将主机B的MAC地址写入ARP缓存表中,以便后续通信。
ARP攻击者利用这一过程的漏洞,发送伪造的ARP响应,欺骗主机A将攻击者的MAC地址与主机B的IP地址进行关联。
这样,主机A发送的数据包将被发送到攻击者那里,攻击者可以对数据包进行截获、篡改或伪造等操作。
3. ARP攻击的危害ARP攻击具有以下几个危害:3.1 中间人攻击通过ARP欺骗,攻击者可以截获用户和服务器之间的通信数据,对数据进行篡改甚至伪造。
这种中间人攻击可能导致用户的敏感信息泄露,如账号密码、银行卡信息等。
3.2 DoS攻击ARP攻击还可以用于实施拒绝服务(DoS)攻击。
攻击者可以通过发送大量的伪造ARP响应来干扰网络中的正常通信,甚至让目标主机无法上网。
3.3 会话劫持ARP攻击还可以用于会话劫持。
攻击者可以通过篡改网络中的ARP缓存表,将目标主机的IP地址与自己的MAC地址关联,从而截获目标主机的会话,窃取用户的敏感信息。
4. 解决ARP攻击的方法要解决ARP攻击,我们可以采取以下几种方法:4.1 静态ARP表静态ARP表是将本地网络中所有主机的IP地址与MAC地址手动关联起来,这样就可以避免ARP缓存表被篡改。
Arp攻击行为的原理分析及解决思路
Arp攻击行为的原理分析及解决思路近一段时间带有ARP攻击行为的病毒很是常见,主要有两种表现形式:1.频繁的出现地址冲突的现象2.上网速度很慢甚至上不了网。
经分析,这大部分是由于病毒进行ARP地址欺骗造成的。
由于ARP协议的固有的缺陷,病毒通过发送假的ARP数据包,使得同网段的计算机误以为中毒计算机是网关,造成其它计算机上网中断(第一种情况)。
或是假冒网络中特定的机器对这台机器通信的数据进行截获(第二种情况)。
为了避免中毒计算机对网络造成影响,趋势科技已经提供相关的防御工具KB(62735),由于ARP病毒攻击的复杂多变性,现在针对两种基本的攻击行为的原理进行分析,并提出相应的解决思路。
1. 上网速度很慢甚至上不了网我们首先要了解一下ARP(Address Resolution Protocol)地址解析协议,它是一种将IP地址转化成物理地址的协议。
ARP具体说来就是将网络层(TCP/IP协议的IP层,也就是相当于OSI的第三层)地址(32位)解析为数据链路层(TCP/IP协议的MAC层,也就是相当于OSI的第二层)的MAC地址(48位)[RFC826]。
ARP协议是属于链路层的协议,在以太网中的数据帧从一个主机到达网内的另一台主机是根据48位的以太网地址(硬件地址)来确定接口的,而不是根据32位的IP地址。
内核(如驱动)必须知道目的端的硬件地址才能发送数据。
当然,点对点(如两台直联的计算机)的连接是不需要ARP协议的。
为了解释ARP协议的作用,就必须理解数据在网络上的传输过程。
这里举一个简单的ping例子。
假设我们的计算机A的IP地址是192.168.1.50,要测试与B机器的连通性,执行这个命令:ping 192.168.1.51。
该命令会通过ICMP协议发送ICMP数据包。
该过程需要经过下面的步骤:1、应用程序构造数据包,该示例是产生ICMP包,被提交给内核(网络驱动程序);2、内核检查是否能够转化该IP地址为MAC地址,也就是在本地的ARP缓存中查看IP-MAC对应表;3、如果存在该IP-MAC对应关系,那么数据包直接发出;如果不存在该IP-MAC对应关系,那么接续下面的步骤;4、内核进行ARP广播,目的地的MAC地址是BB-BB-BB-BB-BB-BB,ARP命令类型为Request,其中包含有自己的MAC地址;(下面会讲到具体包格式)5、当B主机接收到该ARP请求后,就发送一个ARP的Reply命令,其中包含自己的MAC地址;6、B获得A主机的IP-MAC地址对应关系,并保存到ARP缓存中;7、B内核将把IP转化为MAC地址,然后封装在以太网头结构中,再把数据发送出去;使用arp -a命令就可以查看本地的ARP缓存内容,所以,执行一个本地的ping命令后,ARP缓存就会存在一个目的IP的记录了。
ARP 攻击
ARP 攻击●ARP的了解:ARP攻击仅能在以太网(局域网如:机房、内网、公司网络、学校等)进行, 局域网中若有一个人感染ARP木马,则感染该ARP木马的系统将会试图通过“ARP欺骗”手段截获所在网络内其它计算机的通信信息,并因此造成网内其它计算机的通信故障。
ARP攻击就是通过伪造IP地址和MAC地址实现ARP欺骗,能够在网络中产生大量的ARP通信量使网络阻塞,攻击者只要持续不断的发出伪造的ARP响应包就能更改目标主机ARP缓存中的IP-MAC 条目,造成网络中断或中间人攻击。
●如何去诊断:(1)遭受ARP攻击后现象:1.不断弹出“本机的0-255段硬件地址与网络中的0-255段地址冲突”的对话框。
2.计算机不能正常上网,出现网络中断的症状。
(一旦出现这种状况,我们可以通过下列简单的方式进行确认:①持续ping不能访问的IP地址。
在被攻击的对象的DOS窗口中输入“ping目标主机IP地址-t”用来检测网络的连通性,如果出现持续丢包,表示遭受攻击。
②执行“arp –a”,显示该计算机上的所有ARP缓存。
从中我们看到多条记录。
开启一个DOS窗口,输入“arp –d”,清除本机上所有的IP和MAC地址的对应。
此时在ping指令的DOS上持续出现“Reply from……”表明曾受到ARP攻击,现已正常,如果仅出现一次“Reply from”后变成“Request time out”,则表明还在收到持续攻击不断的ARP攻击。
③同时按住键盘上的“CTRL”和“ALT”、“DEL”键,选择“任务管理器”,点选择“进程”标签。
查看其中是否有一个名为“MIRO.dat”的进程。
如果有,则说明已经中毒。
●扫描可以运用软件ARPKiller等进行扫描。
●对ARP攻击的防护1). 减少过期时间#ndd –set /dev/arp arp_cleanup_interval 60000#ndd -set /dev/ip ip_ire_flush_interval 6000060000=60000毫秒默认是300000加快过期时间,并不能避免攻击,但是使得攻击更加困难,带来的影响是在网络中会大量的出现ARP请求和回复,请不要在繁忙的网络上使用。
arp攻击处理办法
1、清空ARP缓存:大家可能都曾经有过使用ARP的指令法解决过ARP欺骗问题,该方法是针对ARP欺骗原理进行解决的。
一般来说ARP欺骗都是通过发送虚假的MAC地址与IP地址的对应ARP数据包来迷惑网络设备,用虚假的或错误的MAC地址与IP 地址对应关系取代正确的对应关系。
若是一些初级的ARP欺骗,可以通过ARP的指令来清空本机的ARP缓存对应关系,让网络设备从网络中重新获得正确的对应关系,具体解决过程如下:第一步:通过点击桌面上任务栏的“开始”->“运行”,然后输入cmd后回车,进入cmd(黑色背景)命令行模式;第二步:在命令行模式下输入arp -a命令来查看当前本机储存在本地系统ARP缓存中IP和MAC对应关系的信息;第三步:使用arp -d 命令,将储存在本机系统中的ARP缓存信息清空,这样错误的ARP缓存信息就被删除了,本机将重新从网络中获得正确的ARP 信息,达到局域网机器间互访和正常上网的目的。
如果是遇到使用ARP欺骗工具来进行攻击的情况,使用上述的方法完全可以解决。
但如果是感染ARP欺骗病毒,病毒每隔一段时间自动发送ARP欺骗数据包,这时使用清空ARP缓存的方法将无能为力了。
下面将接收另外一种,可以解决感染ARP欺骗病毒的方法。
2、指定ARP对应关系:其实该方法就是强制指定ARP对应关系。
由于绝大部分ARP欺骗病毒都是针对网关MAC地址进行攻击的,使本机上ARP缓存中存储的网关设备的信息出现紊乱,这样当机器要上网发送数据包给网关时就会因为地址错误而失败,造成计算机无法上网。
第一步:我们假设网关地址的MAC 信息为00-14-78-a7-77-5c,对应的IP地址为192.168.2.1。
指定ARP对应关系就是指这些地址。
在感染了病毒的机器上,点击桌面->任务栏的“开始”->“运行”,输入cmd后回车,进入cmd命令行模式;第二步:使用arp -s命令来添加一条ARP 地址对应关系,例如arp -s 192.168.2.1 00-14-78-a7-77-5c 命令。
ARP攻击的原理及防御方法!网络管理员必备技能
ARP攻击的原理及防御方法!网络管理员必备技能ARPARP(Address Resolution Protocol,地址解析协议)是一个位于TCP/IP协议栈中的网络层,负责将某个IP地址解析成对应的MAC 地址。
ARP攻击特点•ARP协议的基本功能就是通过目标设备的IP地址,查询目标设备的MAC地址,以保证通信的进行•ARP攻击的局限性•ARP攻击仅能在以太网(局域网如:机房、内网、公司网络等)进行•无法对外网(互联网、非本区域内的局域网)进行攻击攻击原理ARP攻击就是通过伪造IP地址和MAC地址实现ARP欺骗,能够在网络中产生大量的ARP通信量使网络阻塞,攻击者只要持续不断的发出伪造的ARP响应包就能更改目标主机ARP缓存中的IP-MAC条目,造成网络中断或中间人攻击。
ARP攻击主要是存在于局域网网络中,局域网中若有一台计算机感染ARP木马,则感染该ARP木马的系统将会试图通过“ARP欺骗”手段截获所在网络内其它计算机的通信信息,并因此造成网内其它计算机的通信故障。
攻击者向电脑A发送一个伪造的ARP响应,告诉电脑A:电脑B 的IP地址192.168.0.2对应的MAC地址是00-aa-00-62-c6-03,电脑A信以为真,将这个对应关系写入自己的ARP缓存表中,以后发送数据时,将本应该发往电脑B的数据发送给了攻击者。
同样的,攻击者向电脑B也发送一个伪造的ARP响应,告诉电脑B:电脑A的IP地址192.168.0.1对应的MAC地址是00-aa-00-62-c6-03,电脑B也会将数据发送给攻击者。
至此攻击者就控制了电脑A和电脑B之间的流量,他可以选择被动地监测流量,获取密码和其他涉密信息,也可以伪造数据,改变电脑A和电脑B之间的通信内容。
为了解决ARP攻击问题,可以在网络中的交换机上配置802.1x协议。
IEEE 802.1x是基于端口的访问控制协议,它对连接到交换机的用户进行认证和授权。
ARP攻击防范与解决方案
ARP攻击防范与解决方案ARP(地址解析协议)攻击是一种常见的网络攻击手段,通过欺骗网络中的设备,使得攻击者可以窃取数据、篡改数据或者拒绝服务。
为了保护网络安全,我们需要了解ARP攻击的原理和解决方案。
一、ARP攻击的原理1.1 ARP欺骗:攻击者发送虚假ARP响应包,欺骗目标设备将攻击者的MAC 地址误认为是网关的MAC地址,导致数据流经攻击者设备。
1.2 中间人攻击:攻击者在网络中伪装成网关,截取目标设备与网关之间的通信,可以窃取敏感信息。
1.3 DOS攻击:攻击者发送大量虚假ARP请求,使得网络设备无法正常通信,造成网络拥堵。
二、ARP攻击的危害2.1 数据泄露:攻击者可以窃取目标设备的敏感信息,如账号、密码等。
2.2 数据篡改:攻击者可以篡改数据包,导致目标设备收到错误的数据。
2.3 网络拒绝服务:攻击者可以通过ARP攻击使得网络设备无法正常通信,造成网络拥堵。
三、ARP攻击的防范方法3.1 ARP绑定:在网络设备中配置ARP绑定表,将IP地址和MAC地址进行绑定,减少ARP欺骗的可能性。
3.2 安全路由器:使用具有ARP防护功能的安全路由器,可以检测和阻挠虚假ARP响应包。
3.3 网络监控:定期监控网络流量和ARP表,及时发现异常情况并采取相应措施。
四、ARP攻击的解决方案4.1 使用静态ARP表:在网络设备中手动配置ARP表,避免自动学习带来的风险。
4.2 ARP检测工具:使用专门的ARP检测工具,可以检测网络中是否存在ARP攻击,并及时采取应对措施。
4.3 更新网络设备:及时更新网络设备的固件和软件,修复已知的ARP攻击漏洞,提高网络安全性。
五、ARP攻击的应急响应5.1 断开网络连接:一旦发现ARP攻击,即将断开受影响设备的网络连接,阻挠攻击继续扩散。
5.2 修改密码:及时修改受影响设备的账号密码,避免敏感信息泄露。
5.3 报警通知:向网络管理员或者安全团队报告ARP攻击事件,协助进行应急响应和网络恢复。
arp攻击(arp攻击解决办法)
arp攻击(arp攻击解决办法)如果你发现经常网络掉线,或者发现自己的网站所有页面都被挂马,但到服务器上,查看页面源代码,却找不到挂马代码,就要考虑到是否自己机器或者同一IP段中其他机器是否中了ARP病毒。
除了装ARP防火墙以外,还可以通过绑定网关的IP和MAC来预防一下。
如果你发现经常网络掉线,或者发现自己的网站所有页面都被挂马,但到服务器上,查看页面源代码,却找不到挂马代码,就要考虑到是否自己机器或者同一IP段中其他机器是否中了ARP病毒。
除了装ARP防火墙以外,还可以通过绑定网关的IP和MAC来预防一下。
这个方法在局域网中比较适用:你所在的局域网里面有一台机器中了ARP病毒,它伪装成网关,你上网就会通过那台中毒的机器,然后它过一会儿掉一次线来骗取别的机器的帐户密码什么的东西。
下面是手动处理方法的简要说明:如何检查和处理“ ARP 欺骗”木马的方法1.检查本机的“ ARP 欺骗”木马染毒进程同时按住键盘上的“ CTRL ”和“ ALT ”键再按“ DEL ”键,选择“任务管理器”,点选“进程”标签。
察看其中是否有一个名为“ MIR0.dat ”的进程。
如果有,则说明已经中毒。
右键点击此进程后选择“结束进程”。
2.检查网内感染“ ARP 欺骗”木马染毒的计算机在“开始” - “程序” - “附件”菜单下调出“命令提示符”。
输入并执行以下命令:ipconfig记录网关IP 地址,即“Default Gateway ”对应的值,例如“ 59.66.36.1 ”。
再输入并执行以下命令:arp –a在“ Internet Address ”下找到上步记录的网关IP 地址,记录其对应的物理地址,即“ Physical Address ”值,例如“ 00-01-e8-1f-35-54 ”。
在网络正常时这就是网关的正确物理地址,在网络受“ ARP 欺骗”木马影响而不正常时,它就是木马所在计算机的网卡物理地址。
- 1、下载文档前请自行甄别文档内容的完整性,平台不提供额外的编辑、内容补充、找答案等附加服务。
- 2、"仅部分预览"的文档,不可在线预览部分如存在完整性等问题,可反馈申请退款(可完整预览的文档不适用该条件!)。
- 3、如文档侵犯您的权益,请联系客服反馈,我们会尽快为您处理(人工客服工作时间:9:00-18:30)。
ARP攻击原理及解决方法与CMD命令分类ARP攻击原理及解决方法与CMD命令【故障原因】局域网内有人使用ARP欺骗的木马程序(比如:传奇盗号的软件,某些传奇外挂中也被恶意加载了此程序)。
【故障原理】要了解故障原理,我们先来了解一下ARP协议。
在局域网中,通过ARP协议来完成IP地址转换为第二层物理地址(即MAC地址)的。
ARP协议对网络安全具有重要的意义。
通过伪造IP地址和MAC地址实现ARP欺骗,能够在网络中产生大量的ARP通信量使网络阻塞。
ARP协议是“Address Resolution Protocol”(地址解析协议)的缩写。
在局域网中,网络中实际传输的是“帧”,帧里面是有目标主机的MAC地址的。
在以太网中,一个主机要和另一个主机进行直接通信,必须要知道目标主机的MAC地址。
但这个目标MAC地址是如何获得的呢?它就是通过地址解析协议获得的。
所谓“地址解析”就是主机在发送帧前将目标IP地址转换成目标MAC地址的过程。
ARP协议的基本功能就是通过目标设备的IP地址,查询目标设备的MA C地址,以保证通信的顺利进行。
每台安装有TCP/IP协议的电脑里都有一个ARP缓存表,表里的IP地址与MAC地址是一一对应的,如下表所示。
主机IP地址MAC地址A 192.168.16.1 aa-aa-aa-aa-aa-aaB 192.168.16.2 bb-bb-bb-bb-bb-bbC 192.168.16.3 cc-cc-cc-cc-cc-ccD 192.168.16.4 dd-dd-dd-dd-dd-dd我们以主机A(192.168.16.1)向主机B(192.168.16.2)发送数据为例。
当发送数据时,主机A会在自己的ARP缓存表中寻找是否有目标IP地址。
如果找到了,也就知道了目标MAC 地址,直接把目标MAC地址写入帧里面发送就可以了;如果在ARP缓存表中没有找到相对应的IP地址,主机A就会在网络上发送一个广播,目标MAC地址是“FF.FF.FF.FF.FF.FF”,这表示向同一网段内的所有主机发出这样的询问:“192.168.16.2的MAC地址是什么?”网络上其他主机并不响应ARP询问,只有主机B接收到这个帧时,才向主机A做出这样的回应:“19 2.168.16.2的MAC地址是bb-bb-bb-bb-bb-bb”。
这样,主机A就知道了主机B的MAC地址,它就可以向主机B发送信息了。
同时它还更新了自己的ARP缓存表,下次再向主机B发送信息时,直接从ARP缓存表里查找就可以了。
ARP缓存表采用了老化机制,在一段时间内如果表中的某一行没有使用,就会被删除,这样可以大大减少ARP缓存表的长度,加快查询速度。
从上面可以看出,ARP协议的基础就是信任局域网内所有的人,那么就很容易实现在以太网上的ARP欺骗。
对目标A进行欺骗,A去Ping主机C却发送到了DD-DD-DD-DD-DD-DD这个地址上。
如果进行欺骗的时候,把C的MAC地址骗为DD-DD-DD-DD-DD-DD,于是A发送到C上的数据包都变成发送给D的了。
这不正好是D能够接收到A发送的数据包了么,嗅探成功。
A对这个变化一点都没有意识到,但是接下来的事情就让A产生了怀疑。
因为A和C连接不上了。
D对接收到A发送给C的数据包可没有转交给C。
做“man in the middle”,进行ARP重定向。
打开D的IP转发功能,A发送过来的数据包,转发给C,好比一个路由器一样。
不过,假如D发送ICMP重定向的话就中断了整个计划。
D直接进行整个包的修改转发,捕获到A发送给C的数据包,全部进行修改后再转发给C,而C接收到的数据包完全认为是从A发送来的。
不过,C发送的数据包又直接传递给A,倘若再次进行对C的ARP欺骗。
现在D就完全成为A与C的中间桥梁了,对于A和C之间的通讯就可以了如指掌了。
【故障现象】当局域网内某台主机运行ARP欺骗的木马程序时,会欺骗局域网内所有主机和路由器,让所有上网的流量必须经过病毒主机。
其他用户原来直接通过路由器上网现在转由通过病毒主机上网,切换的时候用户会断一次线。
切换到病毒主机上网后,如果用户已经登陆了传奇服务器,那么病毒主机就会经常伪造断线的假像,那么用户就得重新登录传奇服务器,这样病毒主机就可以盗号了。
由于ARP欺骗的木马程序发作的时候会发出大量的数据包导致局域网通讯拥塞以及其自身处理能力的限制,用户会感觉上网速度越来越慢。
当ARP欺骗的木马程序停止运行时,用户会恢复从路由器上网,切换过程中用户会再断一次线。
【HiPER用户快速发现ARP欺骗木马】在路由器的“系统历史记录”中看到大量如下的信息(440以后的路由器软件版本中才有此提示):MAC Chged 10.128.103.124MAC Old 00:01:6c:36:d1:7fMAC New 00:05:5d:60:c7:18这个消息代表了用户的MAC地址发生了变化,在ARP欺骗木马开始运行的时候,局域网所有主机的MAC地址更新为病毒主机的MAC地址(即所有信息的MAC New地址都一致为病毒主机的MAC地址),同时在路由器的“用户统计”中看到所有用户的MAC地址信息都一样。
如果是在路由器的“系统历史记录”中看到大量MAC Old地址都一致,则说明局域网内曾经出现过ARP欺骗(ARP欺骗的木马程序停止运行时,主机在路由器上恢复其真实的MAC地址)。
【在局域网内查找病毒主机】在上面我们已经知道了使用ARP欺骗木马的主机的MAC地址,那么我们就可以使用NBTSCA N(下载地址:[url]/Software/catalog21/339.html[/url])工具来快速查找它。
NBTSCAN可以取到PC的真实IP地址和MAC地址,如果有”传奇木马”在做怪,可以找到装有木马的PC的IP/和MAC地址。
命令:“nbtscan -r 192.168.16.0/24”(搜索整个192.168.16.0/24网段, 即192.168.16.1-192.168.16.254);或“nbtscan 192.168.16.25-137”搜索192.168.16. 25-137 网段,即192.168.16.25-192.168.16.137。
输出结果第一列是IP地址,最后一列是MAC地址。
NBTSCAN的使用范例:假设查找一台MAC地址为“000d870d585f”的病毒主机。
1)将压缩包中的nbtscan.exe 和cygwin1.dll解压缩放到c:/下。
2)在Windows开始—运行—打开,输入cmd(windows98输入“command”),在出现的DOS窗口中输入:C:/nbtscan -r 192.168.16.1/24(这里需要根据用户实际网段输入),回车。
C:/Documents and Settings/ALAN>C:/nbtscan -r 192.168.16.1/24Warning: -r option not supported under Windows. Running without it.Doing NBT name scan for addresses from 192.168.16.1/24IP address NetBIOS Name Server User MAC address------------------------------------------------------------------------------192.168.16.0 Sendto failed: Cannot assign requested address192.168.16.50 SERVER <server> <unknown> 00-e0-4c-4d-96-c6192.168.16.111 LLF <server> ADMINISTRATOR 00-22-55-66-77-88192.168.16.121 UTT-HIPER <server> <unknown> 00-0d-87-26-7d-7 8192.168.16.175 JC <server> <unknown> 00-07-95-e0-7c-d7 192.168.16.223 test123 <server> test123 00-0d-87-0d-58-5f3)通过查询IP--MAC对应表,查出“000d870d585f”的病毒主机的IP地址为“192.168.16. 223”。
【解决思路】1、不要把你的网络安全信任关系建立在IP基础上或MAC基础上,(rarp同样存在欺骗的问题),理想的关系应该建立在IP+MAC基础上。
2、设置静态的MAC-->IP对应表,不要让主机刷新你设定好的转换表。
3、除非很有必要,否则停止使用ARP,将ARP做为永久条目保存在对应表中。
4、使用ARP服务器。
通过该服务器查找自己的ARP转换表来响应其他机器的ARP广播。
确保这台ARP服务器不被黑。
5、使用"proxy"代理IP的传输。
6、使用硬件屏蔽主机。
设置好你的路由,确保IP地址能到达合法的路径。
(静态配置路由AR P条目),注意,使用交换集线器和网桥无法阻止ARP欺骗。
7、管理员定期用响应的IP包中获得一个rarp请求,然后检查ARP响应的真实性。
8、管理员定期轮询,检查主机上的ARP缓存。
9、使用防火墙连续监控网络。
注意有使用SNMP的情况下,ARP的欺骗有可能导致陷阱包丢失。
【HiPER用户的解决方案】建议用户采用双向绑定的方法解决并且防止ARP欺骗。
1、在PC上绑定路由器的IP和MAC地址:1)首先,获得路由器的内网的MAC地址(例如HiPER网关地址192.168.16.254的MAC 地址为0022aa0022aa<HiPER管理界面--端口配置--局域网端口MAC地址>)。
2)编写一个批处理文件rarp.bat内容如下:@echo offarp -darp -s 192.168.16.254 00-22-aa-00-22-aa将文件中的网关IP地址和MAC地址更改为您自己的网关IP地址和MAC地址即可。
将这个批处理软件拖到“windows--开始--程序--启动”中。
3)如果是网吧,可以利用收费软件服务端程序(pubwin或者万象都可以)发送批处理文件r arp.bat到所有客户机的启动目录。
Windows2000的默认启动目录为“C:/Documents and Settings/All Users「开始」菜单程序启动”。