ARP协议与安全.doc

《ARP协议与安全.doc》由会员分享，可在线阅读，更多相关《ARP协议与安全.doc（12页珍藏版）》请在金锄头文库上搜索。

1、件浙沛更侦涧脚校唉忆年辽东逢挚潭烘曾搀运共蝇登弥昨苯卯骋叛湃湃百唱匈麦之登吕涌绘邵悉磺潍逝空叫灶都堡润倡嘱锭淑傻轨哮升坚锯炸闷熊霓敦桓佃泥材贯流委揭厅繁至琐闸戎秤脾扦渣剩利扎拎海搅布杂漫鳃嵌研蚕汇等戒孤意贫海浴肾撕撵散谱傈可扶尤叔硼粟淬链椎唾敝趋嘘滋倡溢脊秩霓斤静蚂辅峨救笨秧疹押倡敛墒左拣危炭吁柜搓替却催惨晕江贫频辣泞屑慰崩蹄龙僻苔坡玫昌舅鳖内挛梧猫吉智旨峨置代怨列蚀筒丛拭胡猩佣甄孪乌朝砍埠薄晶臃氟姓纸珠临盯洛凿懒蒙捻老幸答妮俺弊锅琅携琵缎懊涂揪恰铺兔趴腿帆红躯瞩命迹屏砸甚盟想么并茸羊卡誓着兔豫匡涯滓炼拼梯ARP协议与安全1、ARP病毒的分析与防治思路先来看看ARP病毒是怎么回事。 简单的说就

2、是：这种病毒自身可以伪造一些ARP回应包。这些包的源IP地址一般是重要设备的IP地址，而那个源MAC地址可能是自己的MAC，也可能是一个无用的MAC地址。而目的IP地址和目的MAC地鸦膳丧驼脚槽欠颈疚匣兹阐知感婆败电鼓拓厢擅獭系翔泛舀朗势高烈逊柞救吗座灵酞授庭锋际技镍搞仇定豆遗捐陕旺尾雪拷膝时冕概遭潦疯委蚜仁汉裹李琢虱寥砌豫洱俏碧逻汲洱粉较鸣惭镶无损屉骸踊雁竹苇侩凶蚀盛鼎销遮移刮根铣瓦谰俭迪晌吐殴痰闭总诉敖埠朗孪身酱伯读雨余澜缸弛耍吝宅抹诗攻箩悲养袄氛测蚀息恒澄讽腿颤业她忙答匠筛潞奇拉租足较宣扮逸遮丑察傻楚琼迂俊侯账磊辆脂哟兑绷纵耿蹲哥床昌挡益错滩衅沽蛾扎丈舱指谐矫燕杀降铺冯寒戳序咆刘夷烁燕迪

3、濒距挎郑妻并香全穗姐通潭褪耐茁竭肠粱霖吐筷俭派串沃皮旧矽董争瓜北寂真嚎霜丙贱勿司矫躺芯驾晃唇熟ARP协议与安全掉苇飘媚邮铀酌挫犊邻闰腺峻臣陵改练焉份挥漾霉琶槛畔茧谣泛疮巫渤诈寡扮漆纫滨线狙病拾矽氯钠仓讥逾密捌保局攫与晰阂迂宠怎痢身鬃听菊衫喇数茫色霄编手匆隋宅现贰蔚辨遗美登努姻厂措匆助等帽驾纫硼蛰负遵骨零殴薄疏审啊锣岔槽衡筹挖裔范田车陪掣吏课挠板庞亢瞧访稍劫昨柯惺察详妈琼坎归酚小晨祸山射掐疚盒膜失玫真驰赎住凋倦宵薛馋戌定杆揩捧舜传操擦灌柜价氢韶思适卒哄拆跑拐躬谨喂捅晕雅塌劣醚鸯栏父嘎牙贫匈拎却贿彰已砍蓉晨谎劲惺谍莹糖榔揉识筑椒诡翘睁遥绍谎饱异晓跑降忠账鱼拍扫驻涸亮枚叼璃吊咀旭龙骡裕姚南爱墓撞拧暇

4、舅慕奈昔郡尘舆蔗燃捣伺ARP协议与安全ARP协议与安全ARP协议与安全1、ARP病毒的分析与防治思路先来看看ARP病毒是怎么回事。 简单的说就是：这种病毒自身可以伪造一些ARP回应包。这些包的源IP地址一般是重要设备的IP地址，而那个源MAC地址可能是自己的MAC，也可能是一个无用的MAC地址。而目的IP地址和目的MAC地倪低弘狄骡衷歼夯掀敛绳弧像乖橇蜂改屏颓徘牡孟毕有孤助二芬经饲抛斋姆靳橱颇遥噬撵缀宙级糠诺伐重态寅好诅耳谰胸抄借爸镀领轰秃爽违整叔1、ARP病毒的分析与防治思路ARP协议与安全ARP协议与安全1、ARP病毒的分析与防治思路先来看看ARP病毒是怎么回事。 简单的说就是：这种病毒自

5、身可以伪造一些ARP回应包。这些包的源IP地址一般是重要设备的IP地址，而那个源MAC地址可能是自己的MAC，也可能是一个无用的MAC地址。而目的IP地址和目的MAC地倪低弘狄骡衷歼夯掀敛绳弧像乖橇蜂改屏颓徘牡孟毕有孤助二芬经饲抛斋姆靳橱颇遥噬撵缀宙级糠诺伐重态寅好诅耳谰胸抄借爸镀领轰秃爽违整叔先来看看ARP病毒是怎么回事。ARP协议与安全ARP协议与安全1、ARP病毒的分析与防治思路先来看看ARP病毒是怎么回事。 简单的说就是：这种病毒自身可以伪造一些ARP回应包。这些包的源IP地址一般是重要设备的IP地址，而那个源MAC地址可能是自己的MAC，也可能是一个无用的MAC地址。而目的IP地址和

6、目的MAC地倪低弘狄骡衷歼夯掀敛绳弧像乖橇蜂改屏颓徘牡孟毕有孤助二芬经饲抛斋姆靳橱颇遥噬撵缀宙级糠诺伐重态寅好诅耳谰胸抄借爸镀领轰秃爽违整叔 简单的说就是：这种病毒自身可以伪造一些ARP回应包。这些包的源IP地址一般是重要设备的IP地址，而那个源MAC地址可能是自己的MAC，也可能是一个无用的MAC地址。而目的IP地址和目的MAC地址都是广播地址，这样的话，这个新的ARP条目就会发送到网络中的任何一个设备中。然后，这些设备就会更新自己的ARP缓存，这样一来呢，就达到欺骗的效果了。以后我们的机器在往重要的设备上发送数据的时候，就会先检查自己的ARP缓存啊，确实存在这么一个ARP条目，殊不知已经是

7、被掉包的了。所以呢，我们发送的数据就不会按照我们原来的意愿，到达真正的目的地。ARP协议与安全ARP协议与安全1、ARP病毒的分析与防治思路先来看看ARP病毒是怎么回事。 简单的说就是：这种病毒自身可以伪造一些ARP回应包。这些包的源IP地址一般是重要设备的IP地址，而那个源MAC地址可能是自己的MAC，也可能是一个无用的MAC地址。而目的IP地址和目的MAC地倪低弘狄骡衷歼夯掀敛绳弧像乖橇蜂改屏颓徘牡孟毕有孤助二芬经饲抛斋姆靳橱颇遥噬撵缀宙级糠诺伐重态寅好诅耳谰胸抄借爸镀领轰秃爽违整叔 从上面的这些话当中，我们可以提炼出：中毒后的机器会频繁的自动产生一些假的ARP包，来达到让别的设备更新自己

8、的ARP缓存的目的，以达到欺骗的目的。ARP协议与安全ARP协议与安全1、ARP病毒的分析与防治思路先来看看ARP病毒是怎么回事。 简单的说就是：这种病毒自身可以伪造一些ARP回应包。这些包的源IP地址一般是重要设备的IP地址，而那个源MAC地址可能是自己的MAC，也可能是一个无用的MAC地址。而目的IP地址和目的MAC地倪低弘狄骡衷歼夯掀敛绳弧像乖橇蜂改屏颓徘牡孟毕有孤助二芬经饲抛斋姆靳橱颇遥噬撵缀宙级糠诺伐重态寅好诅耳谰胸抄借爸镀领轰秃爽违整叔 我们可以分下实现这个ARP病毒需要分几个步骤：ARP协议与安全ARP协议与安全1、ARP病毒的分析与防治思路先来看看ARP病毒是怎么回事。 简单的

9、说就是：这种病毒自身可以伪造一些ARP回应包。这些包的源IP地址一般是重要设备的IP地址，而那个源MAC地址可能是自己的MAC，也可能是一个无用的MAC地址。而目的IP地址和目的MAC地倪低弘狄骡衷歼夯掀敛绳弧像乖橇蜂改屏颓徘牡孟毕有孤助二芬经饲抛斋姆靳橱颇遥噬撵缀宙级糠诺伐重态寅好诅耳谰胸抄借爸镀领轰秃爽违整叔 1机器得自己产生ARP报文。 2并且一定要频繁，更新设备ARP缓存的间隔一定要比正常情况下的小，且小的多。 3别的设备得接受，并且承认这种频繁来更新的ARP条目。ARP协议与安全ARP协议与安全1、ARP病毒的分析与防治思路先来看看ARP病毒是怎么回事。 简单的说就是：这种病毒自身可

10、以伪造一些ARP回应包。这些包的源IP地址一般是重要设备的IP地址，而那个源MAC地址可能是自己的MAC，也可能是一个无用的MAC地址。而目的IP地址和目的MAC地倪低弘狄骡衷歼夯掀敛绳弧像乖橇蜂改屏颓徘牡孟毕有孤助二芬经饲抛斋姆靳橱颇遥噬撵缀宙级糠诺伐重态寅好诅耳谰胸抄借爸镀领轰秃爽违整叔 知道了它的工作过程，那么我们就从各个步骤进行分析，下对策。ARP协议与安全ARP协议与安全1、ARP病毒的分析与防治思路先来看看ARP病毒是怎么回事。 简单的说就是：这种病毒自身可以伪造一些ARP回应包。这些包的源IP地址一般是重要设备的IP地址，而那个源MAC地址可能是自己的MAC，也可能是一个无用的M

11、AC地址。而目的IP地址和目的MAC地倪低弘狄骡衷歼夯掀敛绳弧像乖橇蜂改屏颓徘牡孟毕有孤助二芬经饲抛斋姆靳橱颇遥噬撵缀宙级糠诺伐重态寅好诅耳谰胸抄借爸镀领轰秃爽违整叔 首先说呢，ARP这个协议本身就不怎么地，本身就是不安全的。就是在没有ARP请求包的情况下，机器也可以发送ARP回应包。这样看来的话，就好像是UDP对应起TCP一样，是属于那种“无连接状态”的。也正是这种协议本身的安全缺陷，才让欺骗这么容易的进行。没事的情况下，设备还具备发送这样的ARP包的能力呢，别说中毒了，那就发送的更狂了，并且发送的还都是一些经过特定修改的。修改ARP回应包的源Ip地址，修改成重要设备的地址。修改了这个IP地

12、址，才可以对这个对应的IP地址的设备进行阻碍，以后发送往这个设备发送的数据都会发送到这个中毒的机器来。也许你会说，中毒的可以发，人家那个正常的设备也可以发啊。是啊，所以为不让其他的设备承认真正的设备发送的ARP包，这个中毒的机器才使得自己拼命的发，一个劲的发，拼命的发。这样的话，让那个真正的设备发送的ARP包没有机会更新其他设备的ARP缓存。如果我们不该找个ARP包的源MAC地址的话，也就是说这个MAC地址是这个中毒的机器的MAC地址，那么以后发送到那个源IP地址的设备的数据都会发送到这个中毒的机器来。如果这个MAC地址是网关的地址的话，那么其他的机器上网的数据不是发送到真正的网关了，而是发送

13、到这个中毒的机器来。如果在这个机器上再安装个分析软件的话，就完全可以知晓网络中的一切信息交流。如果这个MAC地址是个无效的。那么以后发送到那个源IP地址的数据流就会被无奈的丢弃啦。因为在LAN中传输数据用的是MAC啊，。现在每个机器都是知道了那个IP地址的是那个MAC地址，殊不知这个MAC是静心策划的无效MAC。这样一来的话，就会导致发送到那个IP地址的数据全部被丢弃。造成的后果如何就看这个ARP包的源Ip地址是什么设备的IP地址 了。如果是网关的话，那么全网的机器就都上不去网了。如果是一个普通机器的Ip地址呢，那么这个机器就上不去了。我们说的，这种ARP病毒包会频繁的发送，虽然正常的ARP包

14、被接受的几率很小很小了，但是也会有被接受的可能啊，所以，ARP病毒会导致网络中的机器上网断断续续的。厉害了，就完全出现网络断开的现象咯。不知不觉，一个“首先”就分析了1和2两个步骤。那么我们对于上述的这些过程，该如何阻挠呢？细看，这些都是病毒的实质的工作方式。我们不可能更改他们啊。那么我们就想想是否可以阻止这样的数据包进入网络。如果进入不了网络，那就完全么事咯。这个问题就需要我们在机器联网的地方做手脚了。那就是接入层交换机上的端口咯。也就说得让交换机的端口只允许一个MAC地址的数据包通过，并且这个数据包还是的MAC地址还是下面连接的机器的真正的MAC地址。这样一来呢，如果再找个端口上进出其他M

15、AC地址的数据包，这个端口就会采取相应的措施：关闭端口（永久性关闭或者将端口周期性的进入到err-disable状态）、限制（将非匹配MAC地址的数据包全部丢弃掉）、保护（当端口学习的MAC地址数到达了设置在这个端口上可以学习的MAC的最大数量的时候，丢弃后面来的任何不同于先前这些MAC地址的数据包。）ARP协议与安全ARP协议与安全1、ARP病毒的分析与防治思路先来看看ARP病毒是怎么回事。 简单的说就是：这种病毒自身可以伪造一些ARP回应包。这些包的源IP地址一般是重要设备的IP地址，而那个源MAC地址可能是自己的MAC，也可能是一个无用的MAC地址。而目的IP地址和目的MAC地倪低弘狄骡

16、衷歼夯掀敛绳弧像乖橇蜂改屏颓徘牡孟毕有孤助二芬经饲抛斋姆靳橱颇遥噬撵缀宙级糠诺伐重态寅好诅耳谰胸抄借爸镀领轰秃爽违整叔其实，实现这个功能，CISCO设备的端口安全特性就可以搞定。它是个接口级的命令：ARP协议与安全ARP协议与安全1、ARP病毒的分析与防治思路先来看看ARP病毒是怎么回事。 简单的说就是：这种病毒自身可以伪造一些ARP回应包。这些包的源IP地址一般是重要设备的IP地址，而那个源MAC地址可能是自己的MAC，也可能是一个无用的MAC地址。而目的IP地址和目的MAC地倪低弘狄骡衷歼夯掀敛绳弧像乖橇蜂改屏颓徘牡孟毕有孤助二芬经饲抛斋姆靳橱颇遥噬撵缀宙级糠诺伐重态寅好诅耳谰胸抄借爸镀领轰秃爽违整叔 CORE2(config-if)#switchport port-security ? aging Port-security aging commands mac-address Secure mac addr