收藏
下载资源

arp攻击_防护完全手册

上传人:xzh****18 文档编号:34617469 上传时间:2018-02-26 格式:DOC 页数:6 大小:43.50KB
返回 下载 相关 举报
arp攻击_防护完全手册_第1页
第1页 / 共6页
arp攻击_防护完全手册_第2页
第2页 / 共6页
arp攻击_防护完全手册_第3页
第3页 / 共6页
arp攻击_防护完全手册_第4页
第4页 / 共6页
arp攻击_防护完全手册_第5页
第5页 / 共6页
点击查看更多>>
资源描述

《arp攻击_防护完全手册》由会员分享,可在线阅读,更多相关《arp攻击_防护完全手册(6页珍藏版)》请在金锄头文库上搜索。

1、ARP 攻击与防护完全手册最近在论坛上经常看到关于 ARP 病毒的问题,于是在 Google 上搜索 ARP 关键字,啊哦!结果出来 N 多关于这类问题的讨论。呵呵,俺的求知欲很强:) ,想再学习 ARP 下相关知识,所以对目前网络中常见的 ARP 问题进行了一个总结。现在将其贴出来,希望和大家一起讨论! 1. ARP 概念咱们谈 ARP 之前,还是先要知道 ARP 的概念和工作原理,理解了原理知识,才能更好去面对和分析处理问题。1.1 ARP 概念知识ARP,全称 Address Resolution Protocol,中文名为地址解析协议,它工作在数据链路层,在本层和硬件接口联系,同时对上

2、层提供服务。IP 数据包常通过以太网发送,以太网设备并不识别 32 位 IP 地址,它们是以 48 位以太网地址传输以太网数据包。因此,必须把 IP 目的地址转换成以太网目的地址。在以太网中,一个主机要和另一个主机进行直接通信,必须要知道目标主机的 MAC 地址。但这个目标 MAC 地址是如何获得的呢?它就是通过地址解析协议获得的。ARP 协议用于将网络中的 IP 地址解析为的硬件地址(MAC 地址) ,以保证通信的顺利进行。1.2 ARP 工作原理首先,每台主机都会在自己的 ARP 缓冲区中建立一个 ARP 列表,以表示 IP 地址和 MAC 地址的对应关系。当源主机需要将一个数据包要发送到

3、目的主机时,会首先检查自己 ARP 列表中是否存在该 IP 地址对应的 MAC 地址,如果有 就直接将数据包发送到这个 MAC 地址;如果没有,就向本地网段发起一个ARP 请求的广播包,查询此目的主机对应的 MAC 地址。此 ARP 请求数据包里包括源主机的 IP 地址、硬件地址、以及目的主机的 IP 地址。网络中所有的主机收到这个 ARP 请求后,会检查数据包中的目的IP 是否和自己的 IP 地址一致。如果不相同就忽略此数据包;如果相同,该主机首先将发送端的 MAC 地址和 IP 地址添加到自己的 ARP 列表中,如果 ARP 表中已经存在该 IP 的信息,则将其覆盖,然后给源主机发送一个

4、ARP 响应数据包,告诉对方自己是它需要查找的 MAC 地址;源主机收到这个 ARP 响应数据包后,将得到的目的主机的 IP 地址和 MAC 地址添加到自己的 ARP 列表中,并利用此信息开始数据的传输。如果源主机一直没有收到 ARP 响应数据包,表示 ARP 查询失败。例如:A 的地址为:IP:192.168.10.1 MAC: AA-AA-AA-AA-AA-AAB 的地址为:IP: 192.168.10.2 MAC: BB-BB-BB-BB-BB-BB根据上面的所讲的原理,我们简单说明这个过程:A 要和 B 通讯, A 就需要知道 B 的以太网地址,于是A 发送一个 ARP 请求广播(谁是

5、 192.168.10.2 ,请告诉 192.168.10.1) ,当 B 收到该广播,就检查自己,结果发现和自己的一致,然后就向 A 发送一个 ARP 单播应答(192.168.10.2 在 BB-BB-BB-BB-BB-BB) 。1.3 ARP 通讯模式通讯模式(Pattern Analysis):在网络分析中,通讯模式的分析是很重要的,不同的协议和不同的应用都会有不同的通讯模式。更有些时候,相同的协议在不同的企业应用中也会出现不同的通讯模式。ARP在正常情况下的通讯模式应该是:请求 - 应答 - 请求 - 应答,也就是应该一问一答。 2. 常见 ARP 攻击类型个人认为常见的 ARP 攻

6、击为两种类型: ARP 扫描和 ARP 欺骗。2.1 ARP 扫描(ARP 请求风暴)通讯模式(可能):请求 - 请求 - 请求 - 请求 - 请求 - 请求 - 应答 - 请求 - 请求 - 请求.描述:网络中出现大量 ARP 请求广播包,几乎都是对网段内的所有主机进行扫描。大量的 ARP 请求广播可能会占用网络带宽资源;ARP 扫描一般为 ARP 攻击的前奏。出现原因(可能):*病毒程序,侦听程序,扫描程序。*如果网络分析软件部署正确,可能是我们只镜像了交换机上的部分端口,所以大量 ARP 请求是来自与非镜像口连接的其它主机发出的。*如果部署不正确,这些 ARP 请求广播包是来自和交换机相

7、连的其它主机。2.2 ARP 欺骗ARP 协议并不只在发送了 ARP 请求才接收 ARP 应答。当计算机接收到 ARP 应答数据包的时候,就会对本地的 ARP 缓存进行更新,将应答中的 IP 和 MAC 地址存储在 ARP 缓存中。所以在网络中,有人发送一个自己伪造的 ARP 应答,网络可能就会出现问题。这可能就是协议设计者当初没考虑到的!2.2.1 欺骗原理假设一个网络环境中,网内有三台主机,分别为主机 A、B、C 。主机详细信息如下描述: A 的地址为:IP:192.168.10.1 MAC: AA-AA-AA-AA-AA-AAB 的地址为:IP: 192.168.10.2 MAC: BB

8、-BB-BB-BB-BB-BBC 的地址为:IP: 192.168.10.3 MAC: CC-CC-CC-CC-CC-CC正常情况下 A 和 C 之间进行通讯,但是此时 B 向 A 发送一个自己伪造的 ARP 应答,而这个应答中的数据为发送方 IP 地址是 192.168.10.3(C 的 IP 地址) ,MAC 地址是 BB-BB-BB-BB-BB-BB(C 的 MAC地址本来应该是 CC-CC-CC-CC-CC-CC,这里被伪造了) 。当 A 接收到 B 伪造的 ARP 应答,就会更新本地的 ARP 缓存( A 被欺骗了) ,这时 B 就伪装成 C 了。同时,B 同样向 C 发送一个 AR

9、P 应答,应答包中发送方 IP 地址四 192.168.10.1(A 的 IP 地址) ,MAC 地址是 BB-BB-BB-BB-BB-BB(A 的 MAC地址本来应该是 AA-AA-AA-AA-AA-AA) ,当 C 收到 B 伪造的 ARP 应答,也会更新本地 ARP 缓存(C也被欺骗了) ,这时 B 就伪装成了 A。这样主机 A 和 C 都被主机 B 欺骗,A 和 C 之间通讯的数据都经过了 B。主机 B 完全可以知道他们之间说的什么:) 。这就是典型的 ARP 欺骗过程。注意:一般情况下,ARP 欺骗的某一方应该是网关。2.2.2 两种情况ARP 欺骗存在两种情况:一种是欺骗主机作为“

10、中间人” ,被欺骗主机的数据都经过它中转一次,这样欺骗主机可以窃取到被它欺骗的主机之间的通讯数据;另一种让被欺骗主机直接断网。第一种:窃取数据(嗅探)通讯模式:应答 - 应答 - 应答 - 应答 - 应答 - 请求 - 应答 - 应答 -请求-应答.描述:这种情况就属于我们上面所说的典型的 ARP 欺骗,欺骗主机向被欺骗主机发送大量伪造的 ARP 应答包进行欺骗,当通讯双方被欺骗成功后,自己作为了一个“中间人“的身份。此时被欺骗的主机双方还能正常通讯,只不过在通讯过程中被欺骗者“窃听”了。出现原因(可能):*木马病毒*嗅探*人为欺骗第二种:导致断网通讯模式:应答 - 应答 - 应答 - 应答

11、- 应答 - 应答 - 请求描述:这类情况就是在 ARP 欺骗过程中,欺骗者只欺骗了其中一方,如 B 欺骗了 A,但是同时 B 没有对 C 进行欺骗,这样 A 实质上是在和 B 通讯,所以 A 就不能和 C 通讯了,另外一种情况还可能就是欺骗者伪造一个不存在地址进行欺骗。对于伪造地址进行的欺骗,在排查上比较有难度,这里最好是借用 TAP 设备(呵呵,这个东东好像有点贵勒) ,分别捕获单向数据流进行分析!出现原因(可能):* 木马病毒*人为破坏*一些网管软件的控制功能3. 常用的防护方法搜索网上,目前对于 ARP 攻击防护问题出现最多是绑定 IP 和 MAC 和使用 ARP 防护软件,也出现了具

12、有 ARP 防护功能的路由器。呵呵,我们来了解下这三种方法。3.1 静态绑定 最常用的方法就是做 IP 和 MAC 静态绑定,在网内把主机和网关都做 IP 和 MAC 绑定。 欺骗是通过 ARP 的动态实时的规则欺骗内网机器,所以我们把 ARP 全部设置为静态可以解决对内网 PC的欺骗,同时在网关也要进行 IP 和 MAC 的静态绑定,这样双向绑定才比较保险。方法:对每台主机进行 IP 和 MAC 地址静态绑定。通过命令,arp -s 可以实现 “arp s IP MAC 地址 ”。例如:“arp s 192.168.10.1 AA-AA-AA-AA-AA-AA”。如果设置成功会在 PC 上面

13、通过执行 arp -a 可以看到相关的提示:Internet Address Physical Address Type 192.168.10.1 AA-AA-AA-AA-AA-AA static(静态) 一般不绑定,在动态的情况下: Internet Address Physical Address Type 192.168.10.1 AA-AA-AA-AA-AA-AA dynamic(动态)说明:对于网络中有很多主机,500 台,1000 台.,如果我们这样每一台都去做静态绑定,工作量是非常大的。 。 。 。 ,这种静态绑定,在电脑每次重起后,都必须重新在绑定,虽然也可以做一个批处理文件,

14、但是还是比较麻烦的!3.2 使用 ARP 防护软件目前关于 ARP 类的防护软件出的比较多了,大家使用比较常用的 ARP 工具主要是欣向 ARP 工具,Antiarp 等。它们除了本身来检测出 ARP 攻击外,防护的工作原理是一定频率向网络广播正确的 ARP信息。我们还是来简单说下这两个小工具。3.2.1 欣向 ARP 工具俺使用了该工具,它有 5 个功能: A. IP/MAC 清单 选择网卡。如果是单网卡不需要设置。如果是多网卡需要设置连接内网的那块网卡。IP/MAC 扫描。这里会扫描目前网络中所有的机器的 IP 与 MAC 地址。请在内网运行正常时扫描,因为这个表格将作为对之后 ARP 的

15、参照。之后的功能都需要这个表格的支持,如果出现提示无法获取 IP 或 MAC 时,就说明这里的表格里面没有相应的数据。 B. ARP 欺骗检测 这个功能会一直检测内网是否有 PC 冒充表格内的 IP。你可以把主要的 IP 设到检测表格里面,例如,路由器,电影服务器,等需要内网机器访问的机器 IP。(补充)“ARP 欺骗记录”表如何理解:“Time”:发现问题时的时间;“sender”:发送欺骗信息的 IP 或 MAC;“Repeat”:欺诈信息发送的次数;“ARP info”:是指发送欺骗信息的具体内容. 如下面例子:time sender Repeat ARP info 22:22:22 1

16、92.168.1.22 1433 192.168.1.1 is at 00:0e:03:22:02:e8 这条信息的意思是:在 22:22:22 的时间,检测到由 192.168.1.22 发出的欺骗信息,已经发送了 1433 次,他发送的欺骗信息的内容是:192.168.1.1 的 MAC 地址是 00:0e:03:22:02:e8。打开检测功能,如果出现针对表内 IP 的欺骗,会出现提示。可以按照提示查到内网的 ARP 欺骗的根源。提示一句,任何机器都可以冒充其他机器发送 IP 与 MAC,所以即使提示出某个 IP 或 MAC 在发送欺骗信息,也未必是 100的准确。所有请不要以暴力解决某些问题。 C. 主动维护这个功能可以直接解决 ARP 欺骗的掉线问题,但是并不是理想方法。他的原理就在网络内不停的广播制定的 IP 的正确的 MAC 地址。“制定维护对象”的表格里面就是设置需要保护的 IP。发包频率就是每秒发送多少个正确的包给网络内所有机器。强烈建议尽量少

展开阅读全文
相关资源
相关搜索

当前位置:首页 > 办公文档 > 理论文章

电脑版 |金锄头文库版权所有
经营许可证:蜀ICP备13022795号 | 川公网安备 51140202000112号